PEACHPIT Botnet

PEACHPIT-nimellä tunnettu petollinen botnet järjesti satojen tuhansien Android- ja iOS-laitteiden käytön tuottaakseen laittomia voittoja tästä laittomasta toiminnasta vastuussa oleville henkilöille. Tämä botnet on vain yksi osa laajempaa Kiinassa sijaitsevaa toimintaa, jota kutsutaan nimellä BADBOX, joka käsittää brändin ulkopuolisten mobiililaitteiden ja yhdistettyjen TV-laitteiden (CTV) myynnin suosittujen verkkokauppiaiden ja jälleenmyyntialustojen kautta. Nämä laitteet ovat vaarantuneet Triada -nimisen Android-haittaohjelmien kanssa.

PEACHPIT-botnet-verkkoon liittyvä sovellusverkko havaittiin 227 maassa ja alueella. Huipussaan se hallitsi noin 121 000 Android-laitetta ja 159 000 iOS-laitetta päivässä.

Laaja hyökkäyskampanja, joka vaikuttaa satoihin eri Android-laitetyyppeihin

Tartuntoja helpotti 39 sovelluksen kokoelma, jotka ladattiin ja asennettiin yli 15 miljoonaa kertaa. BADBOX-haittaohjelmalla saastuttamat laitteet antoivat operaattoreille mahdollisuuden varastaa arkaluontoisia tietoja, luoda välityspalvelimen poistumispisteitä ja ryhtyä mainospetokseen näiden petollisten sovellusten kautta.

Tarkka tapa vaarantaa Android-laitteet laiteohjelmiston takaovella on tällä hetkellä epäselvä. On kuitenkin todisteita, jotka viittaavat mahdolliseen laitteiston toimitusketjun hyökkäykseen, joka liittyy kiinalaiseen valmistajaan. Näitä vaarantuneita laitteita käyttämällä uhkatoimijat voivat luoda WhatsApp-viestitilejä varastamalla laitteisiin tallennettuja kertaluonteisia salasanoja. Lisäksi kyberrikolliset voivat käyttää näitä laitteita Gmail-tilien perustamiseen ohittaen tehokkaasti tyypilliset bot-tunnistusmekanismit, koska nämä tilit näyttävät olevan todellisen käyttäjän luomia tavallisesta tabletista tai älypuhelimesta.

Erityisen huolestuttavaa on, että yli 200 erityyppisessä Android-laitteessa, mukaan lukien matkapuhelimet, tabletit ja liitetyt TV-tuotteet, on havaittu merkkejä BADBOX-infektiosta. Tämä viittaa laajaan ja laajaan uhkatoimijoiden ohjaamaan operaatioon.

Uhkatoimijat voivat muokata PEACHPIT-bottiverkkoa

Yksi mainospetosjärjestelmän huomionarvoinen piirre on Android- ja iOS-alustoille suunniteltujen väärennettyjen sovellusten käyttö. Näitä vilpillisiä sovelluksia jaetaan suurten sovellusmarkkinapaikkojen kautta, mukaan lukien Google Play Store ja Apple App Store, ja ne ladataan automaattisesti myös vaarantuneille BADBOX-laitteille. Näissä Android-sovelluksissa on moduuli, joka vastaa piilotettujen WebView-näkymien luomisesta. Näitä piilotettuja WebView-näkymiä käytetään myöhemmin pyyntöjen tekemiseen, mainosten näyttämiseen ja mainosten napsautusten simulointiin, samalla kun nämä toiminnot naamioidaan laillisista sovelluksista peräisin oleviksi.

Sekä Apple että Google ovat ottaneet merkittäviä harppauksia tämän toiminnan häiritsemisessä yhteistyössä kyberturvallisuusasiantuntijoiden kanssa. Aiemmin vuonna 2023 julkaistun päivityksen on havaittu poistavan tehokkaasti moduulit, jotka antavat virtaa PEACHPIT:lle BADBOX-tartunnan saaneista laitteista vastauksena marraskuussa 2022 toteutettuihin lievennystoimiin. On kuitenkin epäilyksiä, että hyökkääjät mukauttavat taktiikkaansa pyrkiessään välttää näitä puolustuksia.