PEACHPIT Botnet

Lažni botnet poznat kao PEACHPIT orkestrirao je korištenje stotina tisuća Android i iOS uređaja za stvaranje nezakonite dobiti za pojedince odgovorne za ovu nezakonitu operaciju. Ovaj botnet samo je jedna komponenta šire operacije sa sjedištem u Kini, koja se naziva BADBOX, a koja uključuje prodaju mobilnih i povezanih TV (CTV) uređaja izvan marke putem popularnih online trgovaca i platformi za preprodaju. Ovi su uređaji ugroženi vrstom zlonamjernog softvera za Android poznatom kao Triada .

Mreža aplikacija povezanih s botnetom PEACHPIT otkrivena je u nevjerojatnih 227 zemalja i teritorija. Na svom vrhuncu kontrolirao je približno 121.000 Android uređaja dnevno i 159.000 iOS uređaja dnevno.

Rasprostranjena napadačka kampanja koja utječe na stotine različitih vrsta Android uređaja

Infekcije su bile omogućene zbirkom od 39 aplikacija, koje su preuzete i instalirane više od 15 milijuna puta. Uređaji zaraženi zlonamjernim softverom BADBOX omogućili su operaterima da ukradu osjetljive podatke, uspostave rezidencijalne izlazne točke proxyja i uključe se u prijevare s oglasima putem ovih lažnih aplikacija.

Točna metoda kompromitiranja Android uređaja sa stražnjim vratima firmvera trenutno ostaje nejasna. Međutim, postoje dokazi koji upućuju na mogući napad na lanac nabave hardvera povezan s kineskim proizvođačem. Koristeći ove kompromitirane uređaje, akteri prijetnji mogu kreirati WhatsApp račune za razmjenu poruka krađom jednokratnih lozinki pohranjenih na uređajima. Nadalje, kibernetički kriminalci mogu upotrijebiti ove uređaje za postavljanje Gmail računa, učinkovito zaobilazeći tipične mehanizme za otkrivanje botova, jer se čini da su ovi računi stvoreni sa standardnog tableta ili pametnog telefona od strane pravog korisnika.

Ono što je posebno zabrinjavajuće je da je više od 200 različitih vrsta Android uređaja, uključujući mobilne telefone, tablete i povezane TV proizvode, pokazalo znakove infekcije BADBOX-om. Ovo sugerira široko rasprostranjenu i opsežnu operaciju koju su orkestrirali akteri prijetnje.

Akteri prijetnji mogu modificirati PEACHPIT botnet

Jedan značajan aspekt sheme prijevare s oglasima uključuje korištenje krivotvorenih aplikacija dizajniranih za Android i iOS platforme. Ove lažne aplikacije distribuiraju se putem glavnih tržišta aplikacija uključujući Google Play Store i Apple App Store, a također se automatski preuzimaju na kompromitirane BADBOX uređaje. Unutar ovih Android aplikacija nalazi se modul odgovoran za generiranje skrivenih WebViewa. Ovi skriveni web-prikazi naknadno se koriste za slanje zahtjeva, prikaz oglasa i simulaciju klikova na oglase, dok se sve prikriva da te radnje potječu iz legitimnih aplikacija.

Radeći u suradnji sa stručnjacima za kibernetičku sigurnost, Apple i Google napravili su značajne korake u ometanju ove operacije. Ažuriranje uvedeno ranije 2023. identificirano je kao učinkovito uklanjanje modula koji pokreću PEACHPIT na uređajima zaraženim BADBOXOM, kao odgovor na napore za ublažavanje uvedene u studenom 2022. Međutim, postoje sumnje da napadači prilagođavaju svoje taktike u nastojanju da izbjeći ove obrane.