PEACHPIT Botnet

Uma botnet fraudulenta conhecida como PEACHPIT orquestrou o uso de centenas de milhares de dispositivos Android e iOS para gerar lucros ilícitos para os indivíduos responsáveis por esta operação ilícita. Esta botnet é apenas um componente de uma operação mais ampla baseada na China, conhecida como BADBOX, que envolve a venda de dispositivos móveis e de TV conectada (CTV) sem marca através de varejistas on-line populares e plataformas de revenda. Esses dispositivos estão comprometidos com uma variedade de malware Android conhecida como Triada .

A rede de aplicações associadas à botnet PEACHPIT foi detectada em impressionantes 227 países e territórios. No seu auge, controlava aproximadamente 121.000 dispositivos Android por dia e 159.000 dispositivos iOS por dia.

Uma Campanha de Ataque Generalizada que Afeta Centenas de Diferentes Tipos de Dispositivos Android

As infecções foram facilitadas por uma coleção de 39 aplicativos, que foram baixados e instalados mais de 15 milhões de vezes. Os dispositivos infectados com o malware BADBOX forneceram aos operadores a capacidade de roubar informações confidenciais, estabelecer pontos de saída de proxy residencial e participar de fraudes publicitárias por meio desses aplicativos enganosos.

O método exato de comprometer dispositivos Android com um backdoor de firmware ainda não está claro no momento. No entanto, há evidências que apontam para um potencial ataque à cadeia de fornecimento de hardware ligado a um fabricante chinês. Usando esses dispositivos comprometidos, os agentes de ameaças são capazes de criar contas de mensagens do WhatsApp roubando senhas de uso único armazenadas nos dispositivos. Além disso, os cibercriminosos podem utilizar estes dispositivos para configurar contas do Gmail, contornando efetivamente os mecanismos típicos de deteção de bots, uma vez que estas contas parecem ter sido criadas a partir de um tablet ou smartphone padrão por um utilizador genuíno.

O que é particularmente preocupante é que mais de 200 tipos diferentes de dispositivos Android, incluindo telefones celulares, tablets e produtos de TV conectados, exibiram sinais de infecção pelo BADBOX. Isto sugere uma operação generalizada e extensa orquestrada pelos atores da ameaça.

Os Autores de Ameaças podem Modificar o PEACHPIT Botnet 

Um aspecto notável do esquema de fraude publicitária envolve a utilização de aplicativos falsificados projetados para plataformas Android e iOS. Esses aplicativos fraudulentos são distribuídos pelos principais mercados de aplicativos, incluindo Google Play Store e Apple App Store, e também são baixados automaticamente em dispositivos BADBOX comprometidos. Dentro desses aplicativos Android existe um módulo responsável por gerar WebViews ocultos. Esses WebViews ocultos são posteriormente empregados para fazer solicitações, exibir anúncios e simular cliques em anúncios, ao mesmo tempo que disfarçam essas ações como originárias de aplicativos legítimos.

Trabalhando em colaboração com especialistas em segurança cibernética, tanto a Apple quanto o Google fizeram avanços significativos para interromper esta operação. Uma atualização lançada no início de 2023 foi identificada como removendo efetivamente os módulos que alimentam o PEACHPIT em dispositivos infectados com BADBOX, em resposta aos esforços de mitigação implementados em novembro de 2022. No entanto, há suspeitas de que os invasores estão adaptando suas táticas em um esforço para escapar dessas defesas.