PEACHPIT robotų tinklas naudoja užkrėstus mobiliuosius įrenginius

Botnetas, žinomas kaip PEACHPIT, kuriame buvo naudojamas platus „Android“ ir „iOS“ įrenginių tinklas, buvo naudojamas grėsmės veikėjų, kad gautų neteisėtą pelną. Šis botnetas yra susietas su didesne Kinijoje vykdoma operacija, pavadinta BADBOX, kuri apima ne prekės ženklo mobiliųjų ir prijungtų TV įrenginių pardavimą populiariuose internetiniuose mažmenininkams ir perpardavimo platformoms, kurie visi yra pažeisti Android kenkėjiškos programos, vadinamos Triada.

Remiantis „HUMAN Security“, su PEACHPIT susijusios programos buvo aptiktos 227 šalyse ir teritorijose, o didžiausias įvertinimas – 121 000 kasdien užkrėstų „Android“ įrenginių ir 159 000 kasdien užkrėstų „iOS“ įrenginių.

Ši infekcija buvo pasiekta naudojant 39 programas, kurios buvo atsisiųstos daugiau nei 15 milijonų kartų. Įrenginiai, kuriuose yra BADBOX kenkėjiška programa, leido operatoriams pavogti neskelbtinus duomenis, nustatyti gyvenamųjų tarpinių serverių išėjimo taškus ir sukčiauti skelbimuose naudojant nesąžiningas programas.

PEACHPIT gali išplisti per tiekimo grandinės ataką

Metodas, kuriuo „Android“ įrenginiai pažeidžiami naudojant programinės įrangos užpakalines duris, šiuo metu neaiškus, tačiau yra požymių, kad aparatinės įrangos tiekimo grandinės ataka apima Kinijos gamintoją.

Grėsmių subjektai taip pat galėtų naudoti šiuos pažeistus įrenginius kurdami WhatsApp ir Gmail paskyras, todėl jas būtų sunku aptikti, nes atrodo, kad juos sukūrė tikri vartotojai.

Saugumo tyrinėtojai pirmą kartą dokumentavo šią nusikalstamą operaciją 2023 m. gegužę, priskirdami ją grupei, vadinamai Lemon Group.

HUMAN nustatė daugiau nei 200 skirtingų tipų Android įrenginių, įskaitant mobiliuosius telefonus, planšetinius kompiuterius ir CTV produktus, kuriuose buvo BADBOX infekcijos požymių, o tai rodo, kad operacija plačiai paplitusi.

Vienas iš svarbių skelbimų sukčiavimo schemos aspektų yra padirbtų programų naudojimas pagrindinėse programų parduotuvėse, pvz., Apple App Store ir Google Play Store, taip pat automatinis atsisiuntimas į pažeistus BADBOX įrenginius. Šiose programose yra modulis, kuris sukuria paslėptus žiniatinklio rodinius, kad būtų galima pateikti užklausas, rodyti ir sąveikauti su skelbimais, todėl atrodo, kad užklausos gaunamos iš teisėtų programų.

Siekdama kovoti su šia operacija, sukčiavimo prevencijos įmonė bendradarbiavo su „Apple“ ir „Google“, o grėsmės veikėjai pašalino C2 serverius, atsakingus už BADBOX programinės įrangos užpakalinių durų užkrėtimą. Dėl to likusi BADBOX dalis dabar laikoma neveikiančia.