PEACHPIT Botnet

Ett bedrägligt botnät känt som PEACHPIT orkestrerade användningen av hundratusentals Android- och iOS-enheter för att generera olagliga vinster för de personer som är ansvariga för denna olagliga operation. Detta botnät är bara en komponent i en bredare verksamhet baserad i Kina, kallad BADBOX, som involverar försäljning av icke-märkta mobila och uppkopplade TV-enheter (CTV) via populära onlineåterförsäljare och återförsäljningsplattformar. Dessa enheter har äventyrats med en Android-skadlig kod som kallas Triada .

Nätverket av applikationer associerade med PEACHPIT-botnätet upptäcktes i häpnadsväckande 227 länder och territorier. När den var som mest kontrollerade den cirka 121 000 Android-enheter per dag och 159 000 iOS-enheter per dag.

En utbredd attackkampanj som påverkar hundratals olika Android-enhetstyper

Infektionerna underlättades av en samling av 39 applikationer, som laddades ner och installerades över 15 miljoner gånger. Enheter infekterade med skadlig programvara BADBOX gav operatörerna möjlighet att stjäla känslig information, upprätta proxyutgångspunkter för bostäder och ägna sig åt annonsbedrägeri genom dessa vilseledande applikationer.

Den exakta metoden för att kompromissa med Android-enheter med en bakdörr för fast programvara är för närvarande oklart. Det finns dock bevis som pekar på en potentiell hårdvaruförsörjningskedjan attack kopplad till en kinesisk tillverkare. Med hjälp av dessa komprometterade enheter kan hotaktörer skapa WhatsApp-meddelandekonton genom att stjäla engångslösenord som lagras på enheterna. Dessutom kan cyberbrottslingar använda dessa enheter för att konfigurera Gmail-konton, vilket effektivt kringgår typiska botdetekteringsmekanismer, eftersom dessa konton verkar skapas från en vanlig surfplatta eller smartphone av en äkta användare.

Det som är särskilt oroande är att över 200 olika typer av Android-enheter, inklusive mobiltelefoner, surfplattor och anslutna TV-produkter, har uppvisat tecken på BADBOX-infektion. Detta tyder på en utbredd och omfattande operation orkestrerad av hotaktörerna.

Hotaktörer kan ändra PEACHPIT Botnet

En anmärkningsvärd aspekt av annonsbedrägerisystemet involverar användningen av förfalskade applikationer designade för Android- och iOS-plattformar. Dessa bedrägliga appar distribueras via stora applikationsmarknader, inklusive Google Play Store och Apple App Store, och de laddas också automatiskt ned till komprometterade BADBOX-enheter. Inom dessa Android-applikationer finns en modul som ansvarar för att generera dolda WebViews. Dessa dolda webbvyer används sedan för att göra förfrågningar, visa annonser och simulera annonsklick, allt samtidigt som de döljer dessa åtgärder som att de kommer från legitima applikationer.

I samarbete med cybersäkerhetsexperter har både Apple och Google gjort betydande framsteg för att störa denna operation. En uppdatering som rullades ut tidigare under 2023 har identifierats som en effektiv borttagning av modulerna som driver PEACHPIT på enheter infekterade med BADBOX, som svar på begränsningsinsatser som implementerades i november 2022. Det finns dock misstankar om att angriparna anpassar sin taktik i ett försök att undvika dessa försvar.