PEACHPIT ボットネットは感染したモバイル デバイスを利用します
PEACHPIT として知られるボットネットは、Android および iOS デバイスの広範なネットワークに関与し、違法な利益を生み出すために脅威アクターによって使用されました。このボットネットは、中国を拠点とする BADBOX と呼ばれる大規模な活動に関連しています。この活動には、人気のオンライン小売業者や再販プラットフォームでのブランド外のモバイル デバイスやコネクテッド TV デバイスの販売が含まれており、そのすべてが Triada と呼ばれる Android マルウェアに感染しています。
HUMAN Security によると、PEACHPIT の関連アプリは 227 の国と地域で発見され、ピーク時の推定では毎日 121,000 台の Android デバイスが感染し、159,000 台の iOS デバイスが毎日感染しています。
この感染は、1,500 万回以上ダウンロードされた 39 個のアプリを通じて行われました。 BADBOX マルウェアが組み込まれたデバイスにより、オペレーターは機密データを盗み、住宅用プロキシ出口ポイントを確立し、不正なアプリを介して広告詐欺を行うことができました。
PEACHPITはサプライチェーン攻撃を通じて拡散する可能性がある
Android デバイスがファームウェア バックドアで侵害される方法は現時点では不明ですが、中国のメーカーが関与したハードウェア サプライ チェーン攻撃の兆候があります。
脅威アクターは、これらの侵害されたデバイスを使用して WhatsApp や Gmail アカウントを作成することもできます。これらのアカウントは本物のユーザーによって作成されたように見えるため、検出が困難になります。
セキュリティ研究者は、2023 年 5 月にこの犯罪行為を初めて記録し、レモン グループと呼ばれるグループによるものであると考えました。
HUMAN は、BADBOX 感染の兆候を示す携帯電話、タブレット、CTV 製品を含む 200 種類を超える Android デバイスを特定し、広範な運用を示しました。
広告詐欺スキームの重要な側面の 1 つは、Apple App Store や Google の Play ストアなどの主要なアプリ ストアでの偽造アプリの使用と、侵害された BADBOX デバイスへの自動ダウンロードです。これらのアプリには、広告をリクエスト、表示、操作するための非表示の WebView を作成するモジュールが含まれており、リクエストが正規のアプリからのものであるかのように見せかけます。
この作戦に対抗するために、詐欺防止会社は Apple および Google と協力し、攻撃者は BADBOX ファームウェアのバックドア感染の原因となっている C2 サーバーを停止させました。その結果、BADBOX の残りの部分は休止状態になったと考えられます。