PEACHPIT 殭屍網路利用受感染的行動設備

名為 PEACHPIT 的殭屍網絡涉及廣泛的 Android 和 iOS 設備網絡，被威脅行為者用來賺取非法利潤。該殭屍網路與位於中國的一個名為BADBOX 的大型組織有關，該組織涉及在流行的線上零售商和轉售平台上銷售非品牌行動和連網電視設備，所有這些設備都受到名為Triada 的Android 惡意軟體的攻擊。

據 HUMAN Security 稱，在 227 個國家和地區發現了 PEACHPIT 的相關應用程序，最高估計每天有 121,000 台 Android 設備受到感染，每天有 159,000 台 iOS 設備受到感染。

這種感染是透過一組 39 個應用程式實現的，下載次數超過 1500 萬次。包含 BADBOX 惡意軟體的裝置允許營運商竊取敏感資料、建立住宅代理出口點並透過詐騙應用程式進行廣告詐欺。

PEACHPIT 可能透過供應鏈攻擊傳播

目前尚不清楚 Android 裝置受到韌體後門攻擊的方式，但有跡象表明，硬體供應鏈攻擊涉及一家中國製造商。

威脅行為者還可以使用這些受感染的裝置來建立 WhatsApp 和 Gmail 帳戶，這很難檢測到它們，因為它們似乎是由真正的用戶創建的。

安全研究人員於 2023 年 5 月首次記錄了這項犯罪活動，並將其歸因於一個名為 Lemon Group 的組織。

HUMAN 發現了超過 200 種不同類型的 Android 設備，包括手機、平板電腦和 CTV 產品，這些設備都顯示出 BADBOX 感染的跡象，表明該操作非常廣泛。

廣告詐騙計畫的一個重要方面是在 Apple App Store 和 Google Play Store 等主要應用程式商店中使用假冒應用程序，以及自動下載到受感染的 BADBOX 設備。這些應用程式包含一個模組，該模組創建隱藏的 WebView 來請求、顯示廣告並與廣告交互，使請求看起來好像來自合法應用程式。

為了打擊這項行動，詐欺防制公司與蘋果和谷歌合作，威脅者已經關閉了導致 BADBOX 韌體後門感染的 C2 伺服器。因此，BADBOX 的其餘部分現在被認為處於休眠狀態。