PEACHPIT Botnet maakt gebruik van geïnfecteerde mobiele apparaten

Een botnet bekend als PEACHPIT, dat gebruik maakte van een uitgebreid netwerk van Android- en iOS-apparaten, werd door bedreigingsactoren gebruikt om illegale winsten te genereren. Dit botnet is gekoppeld aan een grotere operatie genaamd BADBOX, gevestigd in China, die de verkoop omvat van mobiele en aangesloten tv-apparaten van een ander merk op populaire online retailers en wederverkoopplatforms, die allemaal zijn aangetast door Android-malware genaamd Triada.

De bijbehorende apps van PEACHPIT werden ontdekt in 227 landen en gebieden, met een piekschatting van 121.000 dagelijks geïnfecteerde Android-apparaten en 159.000 dagelijks geïnfecteerde iOS-apparaten, volgens HUMAN Security.

Deze infectie werd veroorzaakt door een reeks van 39 apps die meer dan 15 miljoen keer werden gedownload. Met apparaten die de BADBOX-malware bevatten, konden de operators gevoelige gegevens stelen, proxy-uitgangspunten voor thuisgebruik opzetten en zich bezighouden met advertentiefraude via frauduleuze apps.

PEACHPIT kan zich verspreiden via een supply chain-aanval

De methode waarmee Android-apparaten worden gecompromitteerd met een firmware-achterdeur is momenteel onduidelijk, maar er zijn aanwijzingen voor een aanval op de hardware-toeleveringsketen waarbij een Chinese fabrikant betrokken is.

Bedreigingsactoren zouden deze gecompromitteerde apparaten ook kunnen gebruiken om WhatsApp- en Gmail-accounts aan te maken, waardoor het moeilijk te detecteren is omdat ze door echte gebruikers lijken te zijn gemaakt.

Beveiligingsonderzoekers documenteerden deze criminele operatie voor het eerst in mei 2023 en schreven deze toe aan een groep genaamd Lemon Group.

HUMAN identificeerde meer dan 200 verschillende soorten Android-apparaten, waaronder mobiele telefoons, tablets en CTV-producten, die tekenen vertoonden van een BADBOX-infectie, wat duidde op een wijdverbreide operatie.

Een belangrijk aspect van het advertentiefraudeprogramma is het gebruik van nagemaakte apps in grote appstores zoals de Apple App Store en de Play Store van Google, evenals automatische downloads naar gecompromitteerde BADBOX-apparaten. Deze apps bevatten een module die verborgen WebViews creëert om advertenties op te vragen, weer te geven en ermee te communiceren, waardoor het lijkt alsof de verzoeken afkomstig zijn van legitieme apps.

Om deze operatie te bestrijden heeft het bedrijf voor fraudepreventie samengewerkt met Apple en Google, en de bedreigingsactoren hebben de C2-servers uitgeschakeld die verantwoordelijk zijn voor de achterdeurinfectie van de BADBOX-firmware. Als gevolg hiervan wordt de rest van BADBOX nu als slapend beschouwd.