Търсене
Close this search box.

PEACHPIT: Масивен ботнет за рекламни измами с милиони хакнати устройства с Android и iOS

Ботнетът за рекламни измами, наречен PEACHPIT, е използвал армия от стотици хиляди устройства с Android и iOS, за да генерира незаконни печалби за участниците в заплахите, които стоят зад схемата.

Ботнетът е част от по-голяма операция, базирана в Китай, с кодово име BADBOX, която включва и продажба на немаркови мобилни устройства и свързани телевизори (CTV) в популярни онлайн магазини и сайтове за препродажба, които са подсигурени с щам на зловреден софтуер за Android, наречен Triada.

„Конгломератът от свързани приложения на ботнета PEACHPIT беше открит в 227 държави и територии, като пикът се оценява на 121 000 устройства дневно за Android и 159 000 устройства дневно за iOS“, заявиха от HUMAN.

Твърди се, че инфекциите са били реализирани чрез колекция от 39 приложения, които са били инсталирани повече от 15 милиона пъти. Устройствата, снабдени със зловредния софтуер, са позволявали на операторите да крадат чувствителни данни, да създават резидентни прокси изходи за връстници и да извършват рекламни измами чрез фалшивите приложения.

Понастоящем не е ясно как устройствата с Android са компрометирани със задна врата във фърмуера, но доказателствата сочат към атака по веригата за доставки на хардуер.

„Хакерите могат също така да използват устройствата със задна врата, за да създадат акаунти за съобщения в WhatsApp, като откраднат еднократни пароли от устройствата“, заяви компанията.

„Освен това участниците в заплахите могат да използват устройствата, за да създават акаунти в Gmail, избягвайки типичното откриване на ботове, тъй като акаунтът изглежда така, сякаш е създаден от нормален таблет или смартфон, от истински човек.“

Ad Fraud Botnet

Подробности за престъпното начинание са документирани за пръв път от Trend Micro през май 2023 г., като са приписани на противник, който е проследен като Lemon Group.

HUMAN заяви, че е идентифицирала поне 200 различни типа устройства с Android, включително мобилни телефони, таблети и продукти на CTV, които са показали признаци на заразяване с BADBOX, което предполага широко разпространена операция.

 

Забележителен аспект на рекламната измама е използването на фалшиви приложения за Android и iOS, които се предлагат на големите пазари за приложения, като Apple App Store и Google Play Store, както и такива, които се изтеглят автоматично на устройствата BADBOX, защитени от заден ход.
В приложенията за Android има модул, който отговаря за създаването на скрити WebViews, които след това се използват за заявяване, визуализиране и кликване върху реклами, и маскиране на заявките за реклами като произхождащи от легитимни приложения – техника, наблюдавана по-рано в случая на VASTFLUX.

Фирмата за предотвратяване на измами отбеляза, че е работила с Apple и Google за прекъсване на операцията, като добави, че „останалата част от BADBOX трябва да се счита за неактивна: C2 сървърите, захранващи заразяването на задната врата на фърмуера на BADBOX, са били свалени“.

Нещо повече, установено е, че актуализация, разпространена по-рано тази година, премахва модулите, захранващи PEACHPIT на заразените с BADBOX устройства, в отговор на мерките за смекчаване, въведени през ноември 2022 г.

При това положение се подозира, че нападателите коригират тактиката си във вероятен опит да заобиколят защитите.

„Това, което влошава нещата, е нивото на замазване, през което са преминали операторите, за да останат незабелязани, което е знак за тяхната повишена сложност“, казва HUMAN. „Всеки може случайно да си купи устройство BADBOX онлайн, без да знае, че е фалшиво, да го включи и несъзнателно да отвори този злонамерен софтуер със задна врата.“

 

Източник: The Hacker News

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
17/04/2024

Последни тенденции при злов...

В днешната дигитална ера киберсигурността се...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!