Ботнет PEACHPIT

Шахрайський ботнет, відомий як PEACHPIT, організував використання сотень тисяч пристроїв Android та iOS для отримання незаконних прибутків для осіб, відповідальних за цю незаконну операцію. Цей ботнет є лише одним із компонентів ширшої операції в Китаї під назвою BADBOX, яка передбачає продаж небрендових мобільних і підключених телевізійних (CTV) пристроїв через популярних онлайн-магазинів і платформи перепродажу. Ці пристрої скомпрометовано зловмисним програмним забезпеченням Android, відомим як Triada .

Мережа додатків, пов’язаних із ботнетом PEACHPIT, була виявлена у приголомшливих 227 країнах і територіях. На піку свого розвитку він контролював приблизно 121 000 пристроїв Android на день і 159 000 пристроїв iOS на день.

Широкомасштабна атака на сотні різних типів пристроїв Android

Зараженням сприяла колекція з 39 програм, які були завантажені та встановлені понад 15 мільйонів разів. Пристрої, заражені зловмисним програмним забезпеченням BADBOX, надавали операторам можливість викрадати конфіденційну інформацію, встановлювати точки виходу проксі-серверів і брати участь у шахрайстві з рекламою через ці шахрайські програми.

Точний спосіб компрометації пристроїв Android за допомогою бекдора прошивки наразі залишається неясним. Однак є докази потенційної атаки на ланцюжок поставок обладнання, пов’язаної з китайським виробником. Використовуючи ці скомпрометовані пристрої, зловмисники можуть створювати облікові записи обміну повідомленнями WhatsApp, викрадаючи одноразові паролі, що зберігаються на пристроях. Крім того, кіберзлочинці можуть використовувати ці пристрої для налаштування облікових записів Gmail, фактично обходячи типові механізми виявлення ботів, оскільки, здається, ці облікові записи створено справжнім користувачем зі стандартного планшета чи смартфона.

Особливе занепокоєння викликає те, що понад 200 різних типів пристроїв Android, включаючи мобільні телефони, планшети та підключені телевізійні пристрої, демонструють ознаки зараження BADBOX. Це свідчить про широкомасштабну операцію, організовану суб’єктами загрози.

Зловмисники можуть змінити ботнет PEACHPIT

Одним із помітних аспектів схеми рекламного шахрайства є використання підроблених програм, розроблених для платформ Android та iOS. Ці шахрайські програми поширюються через основні ринки програм, включаючи Google Play Store і Apple App Store, а також автоматично завантажуються на скомпрометовані пристрої BADBOX. У цих програмах Android міститься модуль, відповідальний за створення прихованих WebView. Ці приховані WebView згодом використовуються для надсилання запитів, відображення реклами та імітації кліків реклами, маскуючи ці дії як такі, що походять від законних програм.

Співпрацюючи з експертами з кібербезпеки, Apple і Google досягли значних успіхів у зриві цієї операції. Оновлення, випущене раніше в 2023 році, виявилося таким, що фактично видаляє модулі, які забезпечують роботу PEACHPIT на пристроях, заражених BADBOX, у відповідь на заходи з пом’якшення, вжиті в листопаді 2022 року. Однак є підозри, що зловмисники адаптують свою тактику, намагаючись уникати цих засобів захисту.