Botnet PEACHPIT

Una botnet fraudolenta nota come PEACHPIT ha orchestrato l'uso di centinaia di migliaia di dispositivi Android e iOS per generare profitti illegali per le persone responsabili di questa operazione illecita. Questa botnet è solo una componente di un'operazione più ampia con sede in Cina, denominata BADBOX, che prevede la vendita di dispositivi mobili e TV connessa (CTV) fuori marchio attraverso famosi rivenditori online e piattaforme di rivendita. Questi dispositivi sono compromessi da un ceppo di malware Android noto come Triada .

La rete di applicazioni associate alla botnet PEACHPIT è stata rilevata in ben 227 paesi e territori. Al suo apice controllava circa 121.000 dispositivi Android e 159.000 dispositivi iOS al giorno.

Una campagna di attacchi diffusa che colpisce centinaia di diversi tipi di dispositivi Android

Le infezioni sono state agevolate da un insieme di 39 applicazioni, scaricate e installate oltre 15 milioni di volte. I dispositivi infettati dal malware BADBOX hanno fornito agli operatori la capacità di rubare informazioni sensibili, stabilire punti di uscita proxy residenziali e impegnarsi in frodi pubblicitarie attraverso queste applicazioni ingannevoli.

Al momento non è ancora chiaro il metodo esatto per compromettere i dispositivi Android con una backdoor firmware. Tuttavia, esistono prove che indicano un potenziale attacco alla catena di fornitura hardware collegata a un produttore cinese. Utilizzando questi dispositivi compromessi, gli autori delle minacce sono in grado di creare account di messaggistica WhatsApp rubando le password monouso memorizzate sui dispositivi. Inoltre, i criminali informatici possono utilizzare questi dispositivi per configurare account Gmail, aggirando di fatto i tipici meccanismi di rilevamento dei bot, poiché questi account sembrano essere creati da un tablet o smartphone standard da un utente autentico.

Ciò che è particolarmente preoccupante è che oltre 200 diversi tipi di dispositivi Android, inclusi telefoni cellulari, tablet e prodotti TV connessi, hanno mostrato segni di infezione da BADBOX. Ciò suggerisce un’operazione diffusa ed estesa orchestrata dagli autori delle minacce.

Gli autori delle minacce possono modificare la botnet PEACHPIT

Un aspetto degno di nota dello schema di frode pubblicitaria riguarda l'utilizzo di applicazioni contraffatte progettate per piattaforme Android e iOS. Queste app fraudolente vengono distribuite attraverso i principali mercati di applicazioni, tra cui Google Play Store e Apple App Store, e vengono anche scaricate automaticamente su dispositivi BADBOX compromessi. All'interno di queste applicazioni Android si trova un modulo responsabile della generazione di WebView nascoste. Queste WebView nascoste vengono successivamente utilizzate per effettuare richieste, visualizzare annunci e simulare clic sugli annunci, il tutto mascherando queste azioni come provenienti da applicazioni legittime.

Lavorando in collaborazione con esperti di sicurezza informatica, sia Apple che Google hanno fatto passi da gigante per interrompere questa operazione. È stato identificato un aggiornamento lanciato all'inizio del 2023 che rimuove effettivamente i moduli che alimentano PEACHPIT sui dispositivi infetti da BADBOX, in risposta agli sforzi di mitigazione implementati nel novembre 2022. Tuttavia, si sospetta che gli aggressori stiano adattando le loro tattiche nel tentativo di eludere queste difese.