PEACHPIT Botnet

PEACHPIT-i nime all tuntud petturlik botnet korraldas sadade tuhandete Android- ja iOS-seadmete kasutamise, et teenida ebaseaduslikku kasumit selle ebaseadusliku tegevuse eest vastutavatele isikutele. See botnet on vaid üks komponent laiemast Hiinas asuvast operatsioonist, mida nimetatakse BADBOXiks ja mis hõlmab kaubamärgiväliste mobiilsete ja ühendatud TV (CTV) seadmete müüki populaarsete veebimüüjate ja edasimüügiplatvormide kaudu. Need seadmed on ohustatud Androidi pahavara tüvega, mida nimetatakse Triadaks .

PEACHPITi botnetiga seotud rakenduste võrgustik tuvastati hämmastavalt 227 riigis ja territooriumil. Tippajal kontrollis see umbes 121 000 Android-seadet ja 159 000 iOS-i seadet päevas.

Laialt levinud rünnakukampaania, mis mõjutab sadu erinevaid Android-seadme tüüpe

Nakatumist soodustas 39 rakendusest koosnev kogu, mida laaditi alla ja installiti üle 15 miljoni korra. BADBOX-i pahavaraga nakatunud seadmed andsid operaatoritele võimaluse varastada tundlikku teavet, luua puhverserveri väljumispunkte ja osaleda nende petlike rakenduste kaudu reklaamipettustes.

Täpne meetod püsivara tagauksega Android-seadmete ohustamiseks on praegu ebaselge. Siiski on tõendeid, mis viitavad võimalikule riistvara tarneahela rünnakule, mis on seotud Hiina tootjaga. Neid ohustatud seadmeid kasutades saavad ohus osalejad luua WhatsAppi sõnumsidekontosid, rikkudes seadmetesse salvestatud ühekordseid paroole. Lisaks saavad küberkurjategijad kasutada neid seadmeid Gmaili kontode seadistamiseks, jättes tõhusalt mööda tüüpilistest robotituvastusmehhanismidest, kuna need kontod näivad olevat loodud tavalisest tahvelarvutist või nutitelefonist ehtsa kasutaja poolt.

Eriti murettekitav on see, et enam kui 200 erinevat tüüpi Android-seadmel, sealhulgas mobiiltelefonidel, tahvelarvutitel ja ühendatud teleritoodetel, on ilmnenud BADBOX-nakkuse tunnused. See viitab laialt levinud ja ulatuslikule operatsioonile, mille on korraldanud ohus osalejad.

Ohunäitlejad võivad PEACHPITi robotvõrku muuta

Reklaamipettuste skeemi üks tähelepanuväärne aspekt hõlmab Androidi ja iOS-i platvormidele mõeldud võltsitud rakenduste kasutamist. Neid petturlikke rakendusi levitatakse suurte rakenduste turgude kaudu, sealhulgas Google Play Store ja Apple App Store, ning need laaditakse automaatselt alla ka ohustatud BADBOX-seadmetesse. Nendes Androidi rakendustes on peidetud veebivaadete loomise eest vastutav moodul. Neid peidetud veebivaateid kasutatakse seejärel päringute tegemiseks, reklaamide kuvamiseks ja reklaamiklikkide simuleerimiseks, maskeerides samal ajal need toimingud seaduslike rakenduste päritoluna.

Koostöös küberturbeekspertidega on nii Apple kui ka Google teinud märkimisväärseid edusamme selle toimingu katkestamisel. On tuvastatud, et 2023. aastal välja antud värskendus eemaldab tõhusalt moodulid, mis toidavad PEACHPITi BADBOXiga nakatunud seadmetes, vastuseks 2022. aasta novembris rakendatud leevendusmeetmetele. Siiski on kahtlusi, et ründajad kohandavad oma taktikat, et nendest kaitsemeetmetest kõrvale hiilida.