PEACHPIT 僵尸网络利用受感染的移动设备
名为 PEACHPIT 的僵尸网络涉及广泛的 Android 和 iOS 设备网络,被威胁行为者用来赚取非法利润。该僵尸网络与位于中国的一个名为 BADBOX 的大型组织有关,该组织涉及在流行的在线零售商和转售平台上销售非品牌移动和联网电视设备,所有这些设备都受到名为 Triada 的 Android 恶意软件的攻击。
据 HUMAN Security 称,在 227 个国家和地区发现了 PEACHPIT 的相关应用程序,最高估计每天有 121,000 台 Android 设备受到感染,每天有 159,000 台 iOS 设备受到感染。
这种感染是通过一组 39 个应用程序实现的,下载次数超过 1500 万次。包含 BADBOX 恶意软件的设备允许运营商窃取敏感数据、建立住宅代理出口点并通过欺诈应用程序进行广告欺诈。
PEACHPIT 可能通过供应链攻击传播
目前尚不清楚 Android 设备受到固件后门攻击的方式,但有迹象表明,硬件供应链攻击涉及一家中国制造商。
威胁行为者还可以使用这些受感染的设备创建 WhatsApp 和 Gmail 帐户,从而很难检测到它们,因为它们似乎是由真正的用户创建的。
安全研究人员于 2023 年 5 月首次记录了这一犯罪活动,并将其归因于一个名为 Lemon Group 的组织。
HUMAN 发现了超过 200 种不同类型的 Android 设备,包括手机、平板电脑和 CTV 产品,这些设备都显示出 BADBOX 感染的迹象,表明该操作非常广泛。
广告欺诈计划的一个重要方面是在 Apple App Store 和 Google Play Store 等主要应用商店中使用假冒应用程序,以及自动下载到受感染的 BADBOX 设备。这些应用程序包含一个模块,该模块创建隐藏的 WebView 来请求、显示广告并与广告交互,使请求看起来好像来自合法应用程序。
为了打击这一行动,欺诈预防公司与苹果和谷歌合作,威胁者已经关闭了导致 BADBOX 固件后门感染的 C2 服务器。因此,BADBOX 的其余部分现在被认为处于休眠状态。