PEACHPIT Botnet-seler infiserte mobile enheter
Et botnett kjent som PEACHPIT, som engasjerte et omfattende nettverk av Android- og iOS-enheter, ble brukt av trusselaktører for å generere ulovlig fortjeneste. Dette botnettet er knyttet til en større operasjon kalt BADBOX basert i Kina, som involverer salg av mobile og tilkoblede TV-enheter utenfor merkevaren på populære nettforhandlere og videresalgsplattformer, som alle er kompromittert med Android-malware kalt Triada.
PEACHPITs tilknyttede apper ble oppdaget i 227 land og territorier, med et toppestimat på 121 000 daglige infiserte Android-enheter og 159 000 daglige infiserte iOS-enheter, ifølge HUMAN Security.
Denne infeksjonen ble oppnådd gjennom et sett med 39 apper som ble lastet ned over 15 millioner ganger. Enheter som inneholdt BADBOX-malware tillot operatørene å stjele sensitive data, etablere proxy-utgangspunkter for boliger og engasjere seg i annonsesvindel gjennom uredelige apper.
PEACHPIT kan spre seg gjennom forsyningskjedeangrep
Metoden som Android-enheter blir kompromittert med en fastvarebakdør er foreløpig uklar, men det er indikasjoner på et maskinvareforsyningskjedeangrep som involverer en kinesisk produsent.
Trusselaktører kan også bruke disse kompromitterte enhetene til å opprette WhatsApp- og Gmail-kontoer, noe som gjør det vanskelig å oppdage siden de ser ut til å være opprettet av ekte brukere.
Sikkerhetsforskere dokumenterte først denne kriminelle operasjonen i mai 2023, og tilskrev den til en gruppe kalt Lemon Group.
HUMAN identifiserte over 200 forskjellige typer Android-enheter, inkludert mobiltelefoner, nettbrett og CTV-produkter, som viste tegn på BADBOX-infeksjon, noe som indikerer en utbredt operasjon.
Et viktig aspekt ved annonsesvindelordningen er bruken av forfalskede apper i store appbutikker som Apple App Store og Googles Play Store, samt automatiske nedlastinger til kompromitterte BADBOX-enheter. Disse appene inneholder en modul som lager skjulte WebViews for å be om, vise og samhandle med annonser, slik at det ser ut som om forespørslene kommer fra legitime apper.
For å bekjempe denne operasjonen samarbeidet selskapet for svindelforebygging med Apple og Google, og trusselaktørene har tatt ned C2-serverne som er ansvarlige for bakdørsinfeksjonen i BADBOX-fastvaren. Som et resultat blir resten av BADBOX nå ansett som sovende.