Le botnet PEACHPIT exploite les appareils mobiles infectés
Un botnet connu sous le nom de PEACHPIT, qui mobilisait un vaste réseau d'appareils Android et iOS, a été utilisé par les acteurs malveillants pour générer des profits illégaux. Ce botnet est lié à une opération plus vaste appelée BADBOX basée en Chine, qui implique la vente d'appareils mobiles et de télévision connectée hors marque sur des détaillants en ligne populaires et des plateformes de revente, tous compromis par un malware Android appelé Triada.
Les applications associées à PEACHPIT ont été découvertes dans 227 pays et territoires, avec une estimation maximale de 121 000 appareils Android infectés quotidiennement et de 159 000 appareils iOS infectés quotidiennement, selon HUMAN Security.
Cette infection a été réalisée grâce à un ensemble de 39 applications téléchargées plus de 15 millions de fois. Les appareils contenant le malware BADBOX ont permis aux opérateurs de voler des données sensibles, d'établir des points de sortie proxy résidentiels et de se livrer à de la fraude publicitaire via des applications frauduleuses.
PEACHPIT pourrait se propager via une attaque contre la chaîne d'approvisionnement
La méthode par laquelle les appareils Android sont compromis par une porte dérobée du micrologiciel n'est actuellement pas claire, mais il existe des indications d'une attaque de la chaîne d'approvisionnement matérielle impliquant un fabricant chinois.
Les acteurs malveillants pourraient également utiliser ces appareils compromis pour créer des comptes WhatsApp et Gmail, ce qui rendrait leur détection difficile car ils semblent avoir été créés par de véritables utilisateurs.
Les chercheurs en sécurité ont documenté pour la première fois cette opération criminelle en mai 2023, l’attribuant à un groupe appelé Lemon Group.
HUMAN a identifié plus de 200 types différents d'appareils Android, notamment des téléphones mobiles, des tablettes et des produits CTV, qui présentaient des signes d'infection par BADBOX, indiquant une opération généralisée.
Un aspect important du stratagème de fraude publicitaire est l'utilisation d'applications contrefaites sur les principaux magasins d'applications comme l'App Store d'Apple et le Play Store de Google, ainsi que les téléchargements automatiques sur des appareils BADBOX compromis. Ces applications contiennent un module qui crée des WebViews cachées pour demander, afficher et interagir avec les publicités, donnant l'impression que les demandes proviennent d'applications légitimes.
Pour lutter contre cette opération, la société de prévention de la fraude a collaboré avec Apple et Google, et les acteurs malveillants ont supprimé les serveurs C2 responsables de l'infection par la porte dérobée du micrologiciel BADBOX. En conséquence, le reste de BADBOX est désormais considéré comme inactif.