La botnet PEACHPIT sfrutta i dispositivi mobili infetti

Una botnet nota come PEACHPIT, che coinvolgeva una vasta rete di dispositivi Android e iOS, è stata utilizzata dagli autori delle minacce per generare profitti illegali. Questa botnet è collegata a un'operazione più ampia chiamata BADBOX con sede in Cina, che prevede la vendita di dispositivi mobili e TV connesse fuori marchio su famosi rivenditori online e piattaforme di rivendita, tutti compromessi dal malware Android chiamato Triada.

Le app associate a PEACHPIT sono state scoperte in 227 paesi e territori, con una stima di picco di 121.000 dispositivi Android infetti ogni giorno e 159.000 dispositivi iOS infetti ogni giorno, secondo HUMAN Security.

Questa infezione è stata ottenuta attraverso una serie di 39 app scaricate oltre 15 milioni di volte. I dispositivi contenenti il malware BADBOX hanno consentito agli operatori di rubare dati sensibili, stabilire punti di uscita proxy residenziali e impegnarsi in frodi pubblicitarie tramite app fraudolente.

PEACHPIT potrebbe diffondersi attraverso un attacco alla catena di fornitura

Il metodo con cui i dispositivi Android vengono compromessi con una backdoor firmware non è attualmente chiaro, ma ci sono indicazioni di un attacco alla catena di fornitura hardware che coinvolge un produttore cinese.

Gli autori delle minacce potrebbero anche utilizzare questi dispositivi compromessi per creare account WhatsApp e Gmail, rendendoli difficili da rilevare poiché sembrano essere stati creati da utenti autentici.

I ricercatori di sicurezza hanno documentato per la prima volta questa operazione criminale nel maggio 2023, attribuendola a un gruppo chiamato Lemon Group.

HUMAN ha identificato oltre 200 diversi tipi di dispositivi Android, inclusi telefoni cellulari, tablet e prodotti CTV, che mostravano segni di infezione da BADBOX, indicando un'operazione diffusa.

Un aspetto significativo dello schema di frode pubblicitaria è l'uso di app contraffatte sui principali app store come l'App Store di Apple e il Play Store di Google, nonché i download automatici su dispositivi BADBOX compromessi. Queste app contengono un modulo che crea WebView nascoste per richiedere, visualizzare e interagire con gli annunci, facendo sembrare che le richieste provengano da app legittime.

Per combattere questa operazione, la società di prevenzione delle frodi ha collaborato con Apple e Google e gli autori delle minacce hanno bloccato i server C2 responsabili dell'infezione della backdoor del firmware BADBOX. Di conseguenza, il resto di BADBOX è ora considerato inattivo.