PEACHPIT Botnet aproveita dispositivos móveis infectados
Uma botnet conhecida como PEACHPIT, que envolveu uma extensa rede de dispositivos Android e iOS, foi usada por agentes de ameaças para gerar lucros ilegais. Este botnet está vinculado a uma operação maior chamada BADBOX, com sede na China, que envolve a venda de dispositivos móveis e de TV conectada fora da marca em varejistas on-line populares e plataformas de revenda, todos comprometidos com malware Android chamado Triada.
Os aplicativos associados ao PEACHPIT foram descobertos em 227 países e territórios, com uma estimativa máxima de 121 mil dispositivos Android infectados diariamente e 159 mil dispositivos iOS infectados diariamente, de acordo com a HUMAN Security.
Esta infeção foi conseguida através de um conjunto de 39 aplicações que foram descarregadas mais de 15 milhões de vezes. Os dispositivos contendo o malware BADBOX permitiram que as operadoras roubassem dados confidenciais, estabelecessem pontos de saída de proxy residencial e se envolvessem em fraudes publicitárias por meio de aplicativos fraudulentos.
PEACHPIT pode se espalhar por meio de ataque à cadeia de suprimentos
O método pelo qual os dispositivos Android são comprometidos com um backdoor de firmware ainda não está claro, mas há indicações de um ataque à cadeia de suprimentos de hardware envolvendo um fabricante chinês.
Os agentes de ameaças também podem usar esses dispositivos comprometidos para criar contas do WhatsApp e do Gmail, dificultando a detecção, pois parecem ter sido criados por usuários genuínos.
Os pesquisadores de segurança documentaram pela primeira vez esta operação criminosa em maio de 2023, atribuindo-a a um grupo chamado Lemon Group.
A HUMAN identificou mais de 200 tipos diferentes de dispositivos Android, incluindo telefones celulares, tablets e produtos CTV, que apresentavam sinais de infecção pelo BADBOX, indicando uma operação generalizada.
Um aspecto significativo do esquema de fraude publicitária é o uso de aplicativos falsificados nas principais lojas de aplicativos, como a Apple App Store e a Play Store do Google, bem como downloads automáticos para dispositivos BADBOX comprometidos. Esses aplicativos contêm um módulo que cria WebViews ocultos para solicitar, exibir e interagir com anúncios, fazendo parecer que as solicitações vêm de aplicativos legítimos.
Para combater esta operação, a empresa de prevenção de fraudes colaborou com a Apple e o Google, e os agentes da ameaça derrubaram os servidores C2 responsáveis pela infecção do backdoor do firmware BADBOX. Como resultado, o restante do BADBOX agora é considerado inativo.