A PEACHPIT botnet a fertőzött mobileszközöket támogatja
A PEACHPIT néven ismert botnetet, amely Android és iOS eszközök kiterjedt hálózatát kötötte le, a fenyegetés szereplői illegális haszonszerzésre használták fel. Ez a botnet egy nagyobb, kínai székhelyű, BADBOX nevű művelethez kapcsolódik, amely a márkán kívüli mobil- és csatlakoztatott TV-eszközök értékesítését foglalja magában népszerű online kiskereskedőkön és viszonteladói platformokon, amelyek mindegyikét a Triada nevű Android-malware fenyegeti.
A PEACHPIT kapcsolódó alkalmazásait 227 országban és területen fedezték fel, a becslések szerint napi 121 000 fertőzött Android készülék és 159 000 fertőzött iOS eszköz naponta a HUMAN Security szerint.
Ez a fertőzés egy 39 alkalmazásból álló sorozaton keresztül történt, amelyeket több mint 15 millió alkalommal töltöttek le. A BADBOX rosszindulatú szoftvert tartalmazó eszközök lehetővé tették az üzemeltetők számára, hogy bizalmas adatokat lopjanak el, lakossági proxy kilépési pontokat hozzanak létre, és csalárd alkalmazásokon keresztül hirdetési csalásokat hajtsanak végre.
A PEACHPIT az ellátási lánc támadásán keresztül terjedhet
Jelenleg nem tisztázott, hogy milyen módszerrel kompromittálják az Android-eszközöket a firmware-hátsó ajtóval, de vannak jelek egy kínai gyártó hardver-ellátási láncának támadására.
A fenyegetés szereplői ezeket a feltört eszközöket WhatsApp- és Gmail-fiókok létrehozására is használhatják, megnehezítve a felismerést, mivel úgy tűnik, hogy valódi felhasználók hozták létre őket.
A biztonsági kutatók először 2023 májusában dokumentálták ezt a bűncselekményt, és a Lemon Group nevű csoportnak tulajdonították.
A HUMAN több mint 200 különböző típusú Android-eszközt azonosított, köztük mobiltelefonokat, táblagépeket és CTV-termékeket, amelyek a BADBOX-fertőzés jeleit mutatták, ami széles körben elterjedt működésre utal.
A hirdetési csalási rendszer egyik jelentős aspektusa a hamisított alkalmazások használata a nagy alkalmazásboltokban, például az Apple App Store és a Google Play Store, valamint a feltört BADBOX eszközök automatikus letöltése. Ezek az alkalmazások tartalmaznak egy modult, amely rejtett WebView-nézeteket hoz létre a hirdetések kéréséhez, megjelenítéséhez és interakcióhoz, így úgy tűnik, mintha a kérések legitim alkalmazásoktól érkeznének.
Ennek a műveletnek a leküzdése érdekében a csalásmegelőző cég együttműködött az Apple-lel és a Google-lal, és a fenyegetés szereplői leszerelték a BADBOX firmware hátsó ajtófertőzéséért felelős C2 szervereket. Ennek eredményeként a BADBOX többi része alvónak tekinthető.