Một mạng botnet lừa đảo quảng cáo có tên PEACHPIT đã tận dụng đội quân hàng trăm nghìn thiết bị Android và iOS để tạo ra lợi nhuận bất hợp pháp cho những kẻ đe dọa đằng sau kế hoạch này.
Mạng botnet này là một phần của hoạt động lớn hơn có trụ sở tại Trung Quốc có tên mã là BADBOX , hoạt động này cũng đòi hỏi phải bán các thiết bị di động và TV kết nối (CTV) không có thương hiệu trên các nhà bán lẻ trực tuyến phổ biến và các trang web bán lại có chứa một loại phần mềm độc hại Android có tên Triada .
HUMAN cho biết : “Tập hợp các ứng dụng liên quan của botnet PEACHPIT đã được tìm thấy ở 227 quốc gia và vùng lãnh thổ, với mức cao nhất ước tính là 121.000 thiết bị mỗi ngày trên Android và 159.000 thiết bị mỗi ngày trên iOS” .
Sự lây nhiễm được cho là đã được thực hiện thông qua bộ sưu tập 39 ứng dụng được cài đặt hơn 15 triệu lần. Các thiết bị được cài phần mềm độc hại cho phép người vận hành đánh cắp dữ liệu nhạy cảm, tạo các thiết bị ngang hàng để thoát proxy dân cư và thực hiện hành vi gian lận quảng cáo thông qua các ứng dụng không có thật.
Hiện tại vẫn chưa rõ các thiết bị Android bị xâm nhập bằng backdoor firmware như thế nào, nhưng bằng chứng chỉ ra một cuộc tấn công chuỗi cung ứng phần cứng.
Công ty cho biết: “Những kẻ đe dọa cũng có thể sử dụng các thiết bị có cửa sau để tạo tài khoản nhắn tin WhatsApp bằng cách đánh cắp mật khẩu một lần từ thiết bị”.
“Ngoài ra, những kẻ đe dọa có thể sử dụng thiết bị này để tạo tài khoản Gmail, tránh bị phát hiện bot thông thường vì tài khoản trông giống như được tạo từ máy tính bảng hoặc điện thoại thông minh bình thường bởi một người thực.”
Thông tin chi tiết về doanh nghiệp tội phạm này lần đầu tiên được Trend Micro ghi lại vào tháng 5 năm 2023, cho rằng nó thuộc về một đối thủ mà nó theo dõi là Lemon Group .
HUMAN cho biết họ đã xác định được ít nhất 200 loại thiết bị Android khác nhau, bao gồm điện thoại di động, máy tính bảng và các sản phẩm CTV, có dấu hiệu nhiễm BADBOX, cho thấy hoạt động này đang lan rộng.
Một khía cạnh đáng chú ý của gian lận quảng cáo là việc sử dụng các ứng dụng giả mạo trên Android và iOS được cung cấp trên các thị trường ứng dụng lớn như Apple App Store và Google Play Store cũng như những ứng dụng được tự động tải xuống các thiết bị BADBOX có cửa sau.
Hiện diện trong ứng dụng Android là một mô-đun chịu trách nhiệm tạo các WebView ẩn sau đó được sử dụng để yêu cầu, hiển thị và nhấp vào quảng cáo, đồng thời giả mạo các yêu cầu quảng cáo là có nguồn gốc từ các ứng dụng hợp pháp, một kỹ thuật đã được quan sát trước đây trong trường hợp VASTFLUX .
Công ty phòng chống gian lận lưu ý rằng họ đã làm việc với Apple và Google để làm gián đoạn hoạt động, đồng thời bổ sung thêm “phần còn lại của BADBOX nên được coi là không hoạt động: các máy chủ C2 hỗ trợ việc lây nhiễm cửa sau phần sụn BADBOX đã bị các tác nhân đe dọa gỡ bỏ”.
Hơn nữa, một bản cập nhật được phát hành vào đầu năm nay đã được phát hiện loại bỏ các mô-đun cung cấp năng lượng cho PEACHPIT trên các thiết bị bị nhiễm BADBOX nhằm đáp ứng các biện pháp giảm thiểu được triển khai vào tháng 11 năm 2022.
Tuy nhiên, người ta nghi ngờ rằng những kẻ tấn công đang điều chỉnh chiến thuật của họ nhằm cố gắng vượt qua hàng phòng thủ.
HUMAN cho biết: “Điều khiến vấn đề trở nên tồi tệ hơn là mức độ che giấu mà các nhà điều hành đã trải qua để không bị phát hiện, một dấu hiệu cho thấy sự tinh vi ngày càng tăng của họ”. “Bất kỳ ai cũng có thể vô tình mua thiết bị BADBOX trực tuyến mà không hề biết đó là hàng giả, cắm điện và vô tình mở phần mềm độc hại cửa sau này.”