Botnet za prevaru reklamama nazvan PEACHPIT koristio je vojsku od stotina hiljada Android i iOS uređaja kako bi stvorio nezakonitu dobit za hakere koji stoje iza šeme.
Botnet je dio veće operacije sa sjedištem u Kini pod kodnim nazivom BADBOX, koja također uključuje prodaju mobilnih i povezanih TV (CTV) off-brand uređaja na popularnim online prodavnicama i stranicama za preprodaju koji su zaraženi sojom Android malvera koji se zove Triada.
“Konglomerat povezanih aplikacija PEACHPIT botneta pronađen je u 227 zemalja i teritorija, sa procijenjenim maksimumom od 121.000 uređaja dnevno na Androidu i 159.000 uređaja dnevno na iOS-u”, rekao je HUMAN.
Kaže se da su zaraze realizovane kroz zbirku od 39 aplikacija koje su instalirane više od 15 miliona puta. Uređaji opremljeni malverom BADBOX omogućili su hakerima da ukradu osjetljive podatke, stvore rezidencijalne proxy izlazne platforme i počine prevaru sa reklamama putem lažnih aplikacija.
Trenutno nije jasno kako su Android uređaji kompromitovani sa backdoorom firmvera, ali dokazi ukazuju na napad na lanac nabavke hardvera kineskog proizvođača.
“Hakeri takođe mogu koristiti backdoored uređaje za kreiranje WhatsApp naloga za razmjenu poruka krađom jednokratnih lozinki s uređaja”, kažu iz kompanije.
“Pored toga, hakeri mogu koristiti uređaje za kreiranje Gmail naloga, izbjegavajući tipičnu detekciju botova jer nalog izgleda kao da je kreiran sa običnog tableta ili pametnog telefona, od strane stvarne osobe.”
Detalje o zločinačkom poduhvatu prvi je dokumentovao Trend Micro u maju 2023. godine, pripisujući ga hakeru kojeg prati kao Lemon Group.
HUMAN je rekao da je identifikovao najmanje 200 različitih tipova Android uređaja, uključujući mobilne telefone, tablete i CTV proizvode, koji su pokazali znakove BADBOX infekcije, što sugeriše široko rasprostranjenu operaciju.
Značajan aspekt prevare s oglasima je korištenje krivotvorenih aplikacija na Androidu i iOS-u koje su dostupne na glavnim tržištima aplikacija kao što su Apple App Store i Google Play Store, kao i onih koje se automatski preuzimaju na backdoored BADBOX uređaje.
U Android aplikacijama je prisutan modul odgovoran za kreiranje skrivenih WebView-a koji se zatim koriste za traženje, renderovanje i klikanje na oglase kao i maskiranje zahtjeva za oglase da izgledaju kao da potiču iz legitimnih aplikacija, tehnika koja je prethodno uočena u slučaju VASTFLUX- a.
Firma za prevenciju prevara napomenula je da je radila s Appleom i Googleom kako bi poremetila operaciju, dodajući da “ostatak BADBOX-a treba smatrati neaktivnim: C2 serveri koji napajaju backdoor infekciju firmvera BADBOX-a su uklonjeni od strane hakera.”
Štaviše, pronađeno je ažuriranje objavljeno ranije ove godine kako bi se uklonili moduli koji napajaju PEACHPIT na uređajima zaraženim BADBOX-om kao odgovor na mjere ublažavanja uvedene u novembru 2022.
Uz to, sumnja se da hakeri prilagođavaju svoju taktiku u vjerovatnom pokušaju da zaobiđu odbranu.
Prethodno instalirani maliciozni softver na Android uređajima je pojava koja se ponavlja od najmanje 2016. godine, uglavnom se širi putem jeftinih pametnih telefona i tableta, navedeno je u više izvještaja dobavljača sajber sigurnosti Doctor Web i Check Point.
“Ono što čini stvar gorom je nivo obfuskacije kroz koji su hakeri prošli da bi ostali neotkriveni, što je znak njihove povećane sofisticiranosti”, rekao je HUMAN. “Svako može slučajno kupiti BADBOX uređaj na mreži, a da ne zna da je lažan, da ga uključi i nesvjesno otvori ovaj backdoor malver.”
Izvor: The Hacker News