PEACHPIT Botnet

Një botnet mashtrues i njohur si PEACHPIT orkestroi përdorimin e qindra mijëra pajisjeve Android dhe iOS për të gjeneruar fitime të paligjshme për individët përgjegjës për këtë operacion të paligjshëm. Ky botnet është vetëm një komponent i një operacioni më të gjerë me bazë në Kinë, i referuar si BADBOX, i cili përfshin shitjen e pajisjeve mobile dhe të lidhura TV (CTV) jashtë markës përmes shitësve të njohur në internet dhe platformave të rishitjes. Këto pajisje janë komprometuar me një lloj malware Android të njohur si Triada .

Rrjeti i aplikacioneve të lidhura me botnetin PEACHPIT u zbulua në 227 vende dhe territore marramendëse. Në kulmin e tij, ai kontrollonte afërsisht 121,000 pajisje Android në ditë dhe 159,000 pajisje iOS në ditë.

Një fushatë e përhapur sulmi që prek qindra lloje të ndryshme pajisjesh Android

Infeksionet u lehtësuan nga një koleksion prej 39 aplikacionesh, të cilat u shkarkuan dhe u instaluan mbi 15 milionë herë. Pajisjet e infektuara me malware BADBOX u dhanë operatorëve aftësinë për të vjedhur informacione të ndjeshme, për të vendosur pikat e daljes së përfaqësuesve rezidencialë dhe për t'u përfshirë në mashtrime reklamash nëpërmjet këtyre aplikacioneve mashtruese.

Metoda e saktë e komprometimit të pajisjeve Android me një derë të pasme të firmuerit mbetet e paqartë për momentin. Megjithatë, ka prova që tregojnë për një sulm të mundshëm të zinxhirit të furnizimit të harduerit të lidhur me një prodhues kinez. Duke përdorur këto pajisje të komprometuara, aktorët e kërcënimit janë në gjendje të krijojnë llogari të mesazheve WhatsApp duke vjedhur fjalëkalime një herë të ruajtur në pajisje. Për më tepër, kriminelët kibernetikë mund t'i përdorin këto pajisje për të krijuar llogari të Gmail, duke anashkaluar në mënyrë efektive mekanizmat tipikë të zbulimit të boteve, pasi këto llogari duket se janë krijuar nga një tablet ose smartphone standard nga një përdorues i vërtetë.

Ajo që është veçanërisht shqetësuese është se mbi 200 lloje të ndryshme të pajisjeve Android, duke përfshirë telefonat celularë, tabletët dhe produktet e lidhura televizive, kanë shfaqur shenja të infeksionit BADBOX. Kjo sugjeron një operacion të gjerë dhe të gjerë të orkestruar nga aktorët e kërcënimit.

Aktorët e kërcënimit mund të modifikojnë botnetin PEACHPIT

Një aspekt i dukshëm i skemës së mashtrimit të reklamave përfshin përdorimin e aplikacioneve të falsifikuara të krijuara për platformat Android dhe iOS. Këto aplikacione mashtruese shpërndahen përmes tregjeve kryesore të aplikacioneve, përfshirë Dyqanin Google Play dhe Apple App Store, dhe ato gjithashtu shkarkohen automatikisht në pajisjet e komprometuara BADBOX. Brenda këtyre aplikacioneve Android ndodhet një modul përgjegjës për gjenerimin e UebView-ve të fshehura. Këto pamje të fshehura në ueb përdoren më pas për të bërë kërkesa, për të shfaqur reklama dhe për të simuluar klikimet në reklama, të gjitha duke i maskuar këto veprime si me origjinë nga aplikacione legjitime.

Duke punuar në bashkëpunim me ekspertë të sigurisë kibernetike, si Apple ashtu edhe Google kanë bërë hapa të rëndësishëm në ndërprerjen e këtij operacioni. Një përditësim i lëshuar më herët në vitin 2023 është identifikuar si duke hequr efektivisht modulet që fuqizojnë PEACHPIT në pajisjet e infektuara me BADBOX, në përgjigje të përpjekjeve zbutëse të zbatuara në nëntor 2022. Megjithatë, ka dyshime se sulmuesit po përshtatin taktikat e tyre në përpjekje për të shmangni këto mbrojtje.