Una botnet per frodi pubblicitarie denominata “PEACHPIT” ha sfruttato centinaia di migliaia di dispositivi Android e iOS per generare profitti illeciti per gli autori della minaccia.
Dettagli dell’operazione
La botnet fa parte di una più ampia operazione con base in Cina chiamata “BADBOX”. Questa operazione include anche la vendita di dispositivi mobili e TV connessi di marche non originali su popolari rivenditori online e siti di rivendita, che sono compromessi con una variante di malware Android chiamata “Triada”. Le app associate al botnet PEACHPIT sono state trovate in 227 paesi e territori, con un picco stimato di 121.000 dispositivi al giorno su Android e 159.000 dispositivi al giorno su iOS, come riportato da HUMAN.
Le infezioni sono state realizzate attraverso una collezione di 39 app installate più di 15 milioni di volte. I dispositivi infettati dal malware hanno permesso agli operatori di rubare dati sensibili, creare nodi proxy residenziali e commettere frodi pubblicitarie attraverso le app false.
Compromissione dei dispositivi
Non è ancora chiaro come i dispositivi Android siano stati compromessi con un backdoor firmware, ma le prove indicano un attacco alla catena di approvvigionamento hardware. Gli autori della minaccia possono anche utilizzare i dispositivi compromessi per creare account WhatsApp rubando password monouso dai dispositivi. Inoltre, possono utilizzare i dispositivi per creare account Gmail, eludendo la tipica rilevazione di bot perché l’account sembra essere stato creato da un normale tablet o smartphone.
Dettagli sull’impresa criminale
Trend Micro ha documentato per la prima volta dettagli sull’impresa criminale nel maggio 2023, attribuendola a un avversario denominato “Lemon Group”. HUMAN ha riferito di aver identificato almeno 200 tipi distinti di dispositivi Android, tra cui telefoni cellulari, tablet e prodotti CTV, che hanno mostrato segni di infezione da BADBOX, suggerendo un’operazione diffusa.
Un aspetto notevole della frode pubblicitaria è l’uso di app contraffatte su Android e iOS disponibili sui principali mercati delle app come l’Apple App Store e il Google Play Store, nonché quelle scaricate automaticamente sui dispositivi compromessi da BADBOX.
Misure di mitigazione
La società di prevenzione delle frodi ha notato di aver lavorato con Apple e Google per interrompere l’operazione. Tuttavia, si sospetta che gli aggressori stiano adeguando le loro tattiche in un probabile tentativo di eludere le difese.