Το PEACHPIT Botnet δεσμεύει μολυσμένες φορητές συσκευές

Ένα botnet γνωστό ως PEACHPIT, το οποίο εμπλέκεται σε ένα εκτεταμένο δίκτυο συσκευών Android και iOS, χρησιμοποιήθηκε από φορείς απειλών για τη δημιουργία παράνομων κερδών. Αυτό το botnet συνδέεται με μια μεγαλύτερη επιχείρηση που ονομάζεται BADBOX με έδρα την Κίνα, η οποία περιλαμβάνει την πώληση κινητών και συνδεδεμένων τηλεοπτικών συσκευών εκτός της επωνυμίας σε δημοφιλείς διαδικτυακούς λιανοπωλητές και πλατφόρμες μεταπώλησης, τα οποία είναι όλα σε κίνδυνο με κακόβουλο λογισμικό Android που ονομάζεται Triada.

Οι συσχετισμένες εφαρμογές του PEACHPIT ανακαλύφθηκαν σε 227 χώρες και περιοχές, με μέγιστη εκτίμηση 121.000 καθημερινά μολυσμένες συσκευές Android και 159.000 καθημερινά μολυσμένες συσκευές iOS, σύμφωνα με την HUMAN Security.

Αυτή η μόλυνση επιτεύχθηκε μέσω ενός συνόλου 39 εφαρμογών που λήφθηκαν πάνω από 15 εκατομμύρια φορές. Οι συσκευές που περιείχαν το κακόβουλο λογισμικό BADBOX επέτρεψαν στους χειριστές να υποκλέψουν ευαίσθητα δεδομένα, να δημιουργήσουν οικιακά σημεία εξόδου διακομιστή μεσολάβησης και να συμμετάσχουν σε απάτη διαφημίσεων μέσω δόλιων εφαρμογών.

Το PEACHPIT μπορεί να εξαπλωθεί μέσω επίθεσης στην αλυσίδα εφοδιασμού

Η μέθοδος με την οποία οι συσκευές Android παραβιάζονται με μια κερκόπορτα υλικολογισμικού δεν είναι προς το παρόν ασαφής, αλλά υπάρχουν ενδείξεις επίθεσης στην αλυσίδα εφοδιασμού υλικού στην οποία εμπλέκεται ένας Κινέζος κατασκευαστής.

Οι φορείς απειλών θα μπορούσαν επίσης να χρησιμοποιήσουν αυτές τις παραβιασμένες συσκευές για τη δημιουργία λογαριασμών WhatsApp και Gmail, γεγονός που καθιστά δύσκολο τον εντοπισμό τους καθώς φαίνεται να δημιουργούνται από γνήσιους χρήστες.

Οι ερευνητές ασφαλείας κατέγραψαν για πρώτη φορά αυτήν την εγκληματική επιχείρηση τον Μάιο του 2023, αποδίδοντάς την σε μια ομάδα που ονομάζεται Lemon Group.

Η HUMAN εντόπισε πάνω από 200 διαφορετικούς τύπους συσκευών Android, συμπεριλαμβανομένων κινητών τηλεφώνων, tablet και προϊόντων CTV, που εμφάνιζαν σημάδια μόλυνσης από το BADBOX, υποδεικνύοντας μια εκτεταμένη λειτουργία.

Μια σημαντική πτυχή του συστήματος απάτης με διαφημίσεις είναι η χρήση πλαστών εφαρμογών σε μεγάλα καταστήματα εφαρμογών όπως το Apple App Store και το Play Store της Google, καθώς και οι αυτόματες λήψεις σε παραβιασμένες συσκευές BADBOX. Αυτές οι εφαρμογές περιέχουν μια λειτουργική μονάδα που δημιουργεί κρυφές προβολές Ιστού για αιτήματα, προβολή και αλληλεπίδραση με διαφημίσεις, κάνοντάς το να φαίνεται σαν τα αιτήματα να προέρχονται από νόμιμες εφαρμογές.

Για την καταπολέμηση αυτής της επιχείρησης, η εταιρεία πρόληψης απάτης συνεργάστηκε με την Apple και την Google και οι παράγοντες απειλών κατέστρεψαν τους διακομιστές C2 που ήταν υπεύθυνοι για τη μόλυνση του υλικολογισμικού BADBOX στην κερκόπορτα. Ως αποτέλεσμα, το υπόλοιπο BADBOX θεωρείται πλέον αδρανές.