Botnet PEACHPIT wykorzystuje zainfekowane urządzenia mobilne
Botnet znany jako PEACHPIT, który wykorzystywał rozległą sieć urządzeń z systemem Android i iOS, był wykorzystywany przez cyberprzestępców do generowania nielegalnych zysków. Botnet ten jest powiązany z większą operacją o nazwie BADBOX z siedzibą w Chinach, która obejmuje sprzedaż obcych marek urządzeń mobilnych i telewizorów z dostępem do internetu w popularnych sklepach internetowych i na platformach odsprzedaży, z których wszystkie są zainfekowane złośliwym oprogramowaniem dla systemu Android o nazwie Triada.
Według HUMAN Security aplikacje powiązane z PEACHPIT zostały wykryte w 227 krajach i terytoriach, przy czym szacunkowo szczytowa liczba zainfekowanych urządzeń z systemem Android wynosi 121 000 dziennie i 159 000 urządzeń z systemem iOS.
Do infekcji tej doszło za pośrednictwem zestawu 39 aplikacji, które pobrano ponad 15 milionów razy. Urządzenia zawierające złośliwe oprogramowanie BADBOX umożliwiały operatorom kradzież wrażliwych danych, ustanawianie punktów wyjścia proxy na miejscu i angażowanie się w oszustwa reklamowe za pośrednictwem fałszywych aplikacji.
PEACHPIT może rozprzestrzenić się poprzez atak na łańcuch dostaw
Metoda, za pomocą której urządzenia z Androidem są naruszane za pomocą backdoora oprogramowania układowego, jest obecnie niejasna, ale istnieją oznaki ataku na łańcuch dostaw sprzętu z udziałem chińskiego producenta.
Podmioty zagrażające mogą również wykorzystywać te zhakowane urządzenia do tworzenia kont WhatsApp i Gmail, co utrudnia ich wykrycie, ponieważ wyglądają na utworzone przez prawdziwych użytkowników.
Badacze ds. bezpieczeństwa po raz pierwszy udokumentowali tę przestępczą operację w maju 2023 r., przypisując ją grupie o nazwie Lemon Group.
HUMAN zidentyfikował ponad 200 różnych typów urządzeń z Androidem, w tym telefony komórkowe, tablety i produkty CTV, które wykazywały oznaki infekcji BADBOX, co wskazuje na powszechne działanie.
Istotnym aspektem oszustwa reklamowego jest wykorzystywanie fałszywych aplikacji w głównych sklepach z aplikacjami, takich jak Apple App Store i Google Play Store, a także automatyczne pobieranie na zainfekowane urządzenia BADBOX. Aplikacje te zawierają moduł, który tworzy ukryte widoki WebView umożliwiające żądanie reklam, wyświetlanie ich i interakcję z reklamami, dzięki czemu wygląda to tak, jakby żądania pochodziły z legalnych aplikacji.
Aby przeciwdziałać tej operacji, firma zajmująca się zapobieganiem oszustwom współpracowała z Apple i Google, a ugrupowania zagrażające usunęły serwery C2 odpowiedzialne za infekcję backdoorem oprogramowania układowego BADBOX. W rezultacie reszta BADBOX jest teraz uważana za uśpioną.
