Ботнетът за рекламни измами, наречен PEACHPIT, е използвал армия от стотици хиляди устройства с Android и iOS, за да генерира незаконни печалби за участниците в заплахите, които стоят зад схемата.

Ботнетът е част от по-голяма операция, базирана в Китай, с кодово име BADBOX, която включва и продажба на немаркови мобилни устройства и свързани телевизори (CTV) в популярни онлайн магазини и сайтове за препродажба, които са подсигурени с щам на зловреден софтуер за Android, наречен Triada.

„Конгломератът от свързани приложения на ботнета PEACHPIT беше открит в 227 държави и територии, като пикът се оценява на 121 000 устройства дневно за Android и 159 000 устройства дневно за iOS“, заявиха от HUMAN.

Твърди се, че инфекциите са били реализирани чрез колекция от 39 приложения, които са били инсталирани повече от 15 милиона пъти. Устройствата, снабдени със зловредния софтуер, са позволявали на операторите да крадат чувствителни данни, да създават резидентни прокси изходи за връстници и да извършват рекламни измами чрез фалшивите приложения.

Понастоящем не е ясно как устройствата с Android са компрометирани със задна врата във фърмуера, но доказателствата сочат към атака по веригата за доставки на хардуер.

„Хакерите могат също така да използват устройствата със задна врата, за да създадат акаунти за съобщения в WhatsApp, като откраднат еднократни пароли от устройствата“, заяви компанията.

„Освен това участниците в заплахите могат да използват устройствата, за да създават акаунти в Gmail, избягвайки типичното откриване на ботове, тъй като акаунтът изглежда така, сякаш е създаден от нормален таблет или смартфон, от истински човек.“

Подробности за престъпното начинание са документирани за пръв път от Trend Micro през май 2023 г., като са приписани на противник, който е проследен като Lemon Group.

HUMAN заяви, че е идентифицирала поне 200 различни типа устройства с Android, включително мобилни телефони, таблети и продукти на CTV, които са показали признаци на заразяване с BADBOX, което предполага широко разпространена операция.

Забележителен аспект на рекламната измама е използването на фалшиви приложения за Android и iOS, които се предлагат на големите пазари за приложения, като Apple App Store и Google Play Store, както и такива, които се изтеглят автоматично на устройствата BADBOX, защитени от заден ход.
В приложенията за Android има модул, който отговаря за създаването на скрити WebViews, които след това се използват за заявяване, визуализиране и кликване върху реклами, и маскиране на заявките за реклами като произхождащи от легитимни приложения – техника, наблюдавана по-рано в случая на VASTFLUX.

Фирмата за предотвратяване на измами отбеляза, че е работила с Apple и Google за прекъсване на операцията, като добави, че „останалата част от BADBOX трябва да се счита за неактивна: C2 сървърите, захранващи заразяването на задната врата на фърмуера на BADBOX, са били свалени“.

Нещо повече, установено е, че актуализация, разпространена по-рано тази година, премахва модулите, захранващи PEACHPIT на заразените с BADBOX устройства, в отговор на мерките за смекчаване, въведени през ноември 2022 г.

При това положение се подозира, че нападателите коригират тактиката си във вероятен опит да заобиколят защитите.

„Това, което влошава нещата, е нивото на замазване, през което са преминали операторите, за да останат незабелязани, което е знак за тяхната повишена сложност“, казва HUMAN. „Всеки може случайно да си купи устройство BADBOX онлайн, без да знае, че е фалшиво, да го включи и несъзнателно да отвори този злонамерен софтуер със задна врата.“