PEACHPIT botnet

A PEACHPIT néven ismert csaló botnet Android- és iOS-eszközök százezreinek felhasználását szervezte meg, hogy illegális haszonra tegyen szert a tiltott műveletért felelős személyek számára. Ez a botnet csak egy összetevője egy szélesebb körű Kínában működő, BADBOX néven emlegetett műveletnek, amely a márkától eltérő mobil és csatlakoztatott TV (CTV) eszközök értékesítését foglalja magában népszerű online kiskereskedőkön és viszonteladói platformokon keresztül. Ezeket az eszközöket a Triada néven ismert Android rosszindulatú programtörzs fenyegeti.

A PEACHPIT botnethez kapcsolódó alkalmazáshálózatot elképesztő 227 országban és területen észlelték. A csúcson körülbelül napi 121 000 Android-eszközt és napi 159 000 iOS-eszközt vezérelt.

Széles körben elterjedt támadási kampány, amely több száz különböző Android-eszköztípust érint

A fertőzéseket 39 alkalmazásból álló gyűjtemény segítette elő, amelyeket több mint 15 millió alkalommal töltöttek le és telepítettek. A BADBOX rosszindulatú szoftverrel fertőzött eszközök lehetővé tették az üzemeltetők számára, hogy bizalmas információkat lopjanak el, lakossági proxy kilépési pontokat hozzanak létre, és ezeken a megtévesztő alkalmazásokon keresztül hirdetési csalásokat hajtsanak végre.

A firmware-hátsó ajtóval rendelkező Android-eszközök kompromittálásának pontos módja jelenleg még nem tisztázott. Vannak azonban bizonyítékok, amelyek egy kínai gyártóhoz köthető lehetséges hardver-ellátási lánc támadásra utalnak. Ezekkel a feltört eszközökkel a fenyegetés szereplői WhatsApp üzenetküldő fiókokat hozhatnak létre az eszközökön tárolt egyszeri jelszavak ellopásával. Ezenkívül a kiberbűnözők ezeket az eszközöket használhatják Gmail-fiókok létrehozására, hatékonyan megkerülve a tipikus botészlelési mechanizmusokat, mivel úgy tűnik, hogy ezeket a fiókokat egy valódi felhasználó egy szabványos táblagépről vagy okostelefonról hozta létre.

Ami különösen aggasztó, hogy több mint 200 különböző típusú Android-eszközön, köztük mobiltelefonokon, táblagépeken és csatlakoztatott TV-termékeken mutatkoztak meg a BADBOX fertőzés jelei. Ez egy széles körben elterjedt és kiterjedt műveletre utal, amelyet a fenyegető szereplők irányítanak.

A fenyegető szereplők módosíthatják a PEACHPIT botnetet

A hirdetési csalási rendszer egyik figyelemre méltó aspektusa az Android és iOS platformokra tervezett hamisított alkalmazások használata. Ezeket a csalárd alkalmazásokat a nagy alkalmazáspiacokon terjesztik, beleértve a Google Play Store-t és az Apple App Store-t, és automatikusan letöltődnek a feltört BADBOX-eszközökre is. Ezeken az Android-alkalmazásokon belül egy modul található, amely a rejtett WebView-képek létrehozásáért felelős. Ezeket a rejtett webes nézeteket a későbbiekben kérések küldésére, hirdetések megjelenítésére és hirdetéskattintások szimulálására használják, miközben ezeket a műveleteket legitim alkalmazásokból származónak álcázzák.

A kiberbiztonsági szakértőkkel együttműködve az Apple és a Google is jelentős lépéseket tett ennek a műveletnek a megzavarásában. Egy korábban, 2023-ban kiadott frissítés hatékonyan eltávolítja a PEACHPIT-et tápláló modulokat a BADBOX-szal fertőzött eszközökön, válaszul a 2022 novemberében végrehajtott mérséklő erőfeszítésekre. Fennáll azonban a gyanú, hogy a támadók taktikájukat módosítják annak érdekében, hogy elkerülni ezeket a védelmeket.