PEACHPIT Botnet

PEACHPIT olarak bilinen sahte bir botnet, bu yasa dışı operasyondan sorumlu kişiler için yasa dışı kar elde etmek amacıyla yüz binlerce Android ve iOS cihazının kullanımını düzenledi. Bu botnet, BADBOX olarak adlandırılan ve marka dışı mobil ve bağlantılı TV (CTV) cihazlarının popüler çevrimiçi perakendeciler ve yeniden satış platformları aracılığıyla satışını içeren, Çin merkezli daha geniş bir operasyonun yalnızca bir bileşenidir. Bu cihazlara Triada olarak bilinen bir Android kötü amaçlı yazılım türü bulaşmıştır.

PEACHPIT botnetiyle ilişkili uygulama ağı, şaşırtıcı bir şekilde 227 ülke ve bölgede tespit edildi. Zirve noktasında günde yaklaşık 121.000 Android cihazı ve 159.000 iOS cihazını kontrol ediyordu.

Yüzlerce Farklı Android Cihaz Türünü Etkileyen Yaygın Saldırı Kampanyası

Bulaşmalar, 15 milyondan fazla kez indirilip yüklenen 39 uygulamadan oluşan bir koleksiyonla kolaylaştırıldı. BADBOX kötü amaçlı yazılımının bulaştığı cihazlar, operatörlere hassas bilgileri çalma, konut proxy çıkış noktaları oluşturma ve bu aldatıcı uygulamalar aracılığıyla reklam sahtekarlığı yapma olanağı sağladı.

Android cihazların donanım yazılımı arka kapısıyla tehlikeye atılmasının kesin yöntemi şu anda belirsizliğini koruyor. Ancak Çinli bir üreticiyle bağlantılı potansiyel bir donanım tedarik zinciri saldırısına işaret eden kanıtlar var. Tehdit aktörleri, ele geçirilen bu cihazları kullanarak, cihazlarda depolanan tek kullanımlık şifreleri çalarak WhatsApp mesajlaşma hesapları oluşturabiliyor. Ayrıca, siber suçlular, bu hesapların gerçek bir kullanıcı tarafından standart bir tablet veya akıllı telefondan oluşturulmuş gibi görünmesi nedeniyle, tipik bot tespit mekanizmalarını etkili bir şekilde atlayarak Gmail hesapları oluşturmak için bu cihazları kullanabilir.

Özellikle endişe verici olan ise cep telefonları, tabletler ve bağlı TV ürünleri de dahil olmak üzere 200'den fazla farklı Android cihazının BADBOX enfeksiyonu belirtileri göstermesidir. Bu durum, tehdit aktörlerinin geniş çaplı ve kapsamlı bir operasyon düzenlediğine işaret ediyor.

Tehdit Aktörleri PEACHPIT Botnet'ini Değiştirebilir

Reklam dolandırıcılığı planının dikkate değer yönlerinden biri, Android ve iOS platformları için tasarlanmış sahte uygulamaların kullanılmasıdır. Bu sahte uygulamalar, Google Play Store ve Apple App Store dahil olmak üzere büyük uygulama pazarları aracılığıyla dağıtılıyor ve ayrıca güvenliği ihlal edilmiş BADBOX cihazlarına otomatik olarak indiriliyor. Bu Android uygulamalarının içinde gizli Web Görünümleri oluşturmaktan sorumlu bir modül bulunur. Bu gizli Web Görünümleri daha sonra isteklerde bulunmak, reklamları görüntülemek ve reklam tıklamalarını simüle etmek için kullanılırken, tüm bunları yaparken bu eylemlerin meşru uygulamalardan kaynaklandığını gizler.

Siber güvenlik uzmanlarıyla işbirliği içinde çalışan hem Apple hem de Google, bu operasyonu aksatma konusunda önemli ilerlemeler kaydetti. Kasım 2022'de uygulanan hafifletme çabalarına yanıt olarak, 2023'ün başlarında yayınlanan bir güncellemenin, BADBOX bulaşmış cihazlarda PEACHPIT'i çalıştıran modülleri etkili bir şekilde kaldırdığı belirlendi. Ancak saldırganların, saldırıları engellemek amacıyla taktiklerini uyarladıklarına dair şüpheler var. Bu savunmalardan kaçının.