PEACHPIT Botnet använder infekterade mobila enheter
Ett botnät känt som PEACHPIT, som engagerade ett omfattande nätverk av Android- och iOS-enheter, användes av hotaktörer för att generera illegala vinster. Detta botnät är kopplat till en större verksamhet kallad BADBOX baserad i Kina, som involverar försäljning av mobila och uppkopplade TV-enheter utanför varumärket på populära online-återförsäljare och återförsäljningsplattformar, som alla har äventyrats med skadlig programvara från Android som heter Triada.
PEACHPITs associerade appar upptäcktes i 227 länder och territorier, med en maximal uppskattning av 121 000 dagligen infekterade Android-enheter och 159 000 dagligen infekterade iOS-enheter, enligt HUMAN Security.
Denna infektion uppnåddes genom en uppsättning av 39 appar som laddades ner över 15 miljoner gånger. Enheter som innehöll skadlig programvara BADBOX gjorde det möjligt för operatörerna att stjäla känslig data, upprätta proxyutgångspunkter för bostäder och ägna sig åt annonsbedrägeri genom bedrägliga appar.
PEACHPIT kan spridas genom attack i försörjningskedjan
Metoden med vilken Android-enheter äventyras med en bakdörr för fast programvara är för närvarande oklart, men det finns indikationer på en hårdvaruförsörjningskedjan attack som involverar en kinesisk tillverkare.
Hotaktörer kan också använda dessa komprometterade enheter för att skapa WhatsApp- och Gmail-konton, vilket gör det svårt att upptäcka eftersom de verkar skapas av genuina användare.
Säkerhetsforskare dokumenterade först denna kriminella operation i maj 2023 och tillskrev den en grupp som heter Lemon Group.
HUMAN identifierade över 200 olika typer av Android-enheter, inklusive mobiltelefoner, surfplattor och CTV-produkter, som visade tecken på BADBOX-infektion, vilket tyder på en utbredd operation.
En viktig aspekt av annonsbedrägeriprogrammet är användningen av förfalskade appar i stora appbutiker som Apple App Store och Googles Play Store, samt automatiska nedladdningar till utsatta BADBOX-enheter. Dessa appar innehåller en modul som skapar dolda webbvyer för att begära, visa och interagera med annonser, vilket gör att det ser ut som om förfrågningarna kommer från legitima appar.
För att bekämpa denna operation samarbetade företaget för att förebygga bedrägerier med Apple och Google, och hotaktörerna har tagit ner C2-servrarna som är ansvariga för bakdörrsinfektionen med BADBOX-firmware. Som ett resultat anses resten av BADBOX nu vara vilande.