PEACHPIT Botnet

Una botnet fraudulenta conocida como PEACHPIT orquestó el uso de cientos de miles de dispositivos Android e iOS para generar ganancias ilícitas para los individuos responsables de esta operación ilícita. Esta botnet es solo un componente de una operación más amplia con sede en China, conocida como BADBOX, que implica la venta de dispositivos móviles y de televisión conectada (CTV) sin marca a través de populares minoristas en línea y plataformas de reventa. Estos dispositivos están comprometidos con una variedad de malware para Android conocida como Triada .

La red de aplicaciones asociadas con la botnet PEACHPIT fue detectada en la asombrosa cantidad de 227 países y territorios. En su punto máximo, controlaba aproximadamente 121.000 dispositivos Android por día y 159.000 dispositivos iOS por día.

Una campaña de ataque generalizada que afecta a cientos de tipos diferentes de dispositivos Android

Las infecciones fueron facilitadas por una colección de 39 aplicaciones, que fueron descargadas e instaladas más de 15 millones de veces. Los dispositivos infectados con el malware BADBOX brindaron a los operadores la capacidad de robar información confidencial, establecer puntos de salida de proxy residenciales y participar en fraude publicitario a través de estas aplicaciones engañosas.

El método exacto para comprometer dispositivos Android con una puerta trasera de firmware aún no está claro en la actualidad. Sin embargo, hay pruebas que apuntan a un posible ataque a la cadena de suministro de hardware vinculado a un fabricante chino. Al utilizar estos dispositivos comprometidos, los actores de amenazas pueden crear cuentas de mensajería de WhatsApp robando contraseñas de un solo uso almacenadas en los dispositivos. Además, los ciberdelincuentes pueden emplear estos dispositivos para configurar cuentas de Gmail, evitando de manera efectiva los mecanismos típicos de detección de bots, ya que estas cuentas parecen haber sido creadas desde una tableta o teléfono inteligente estándar por un usuario genuino.

Lo que es particularmente preocupante es que más de 200 tipos diferentes de dispositivos Android, incluidos teléfonos móviles, tabletas y productos de TV conectados, han mostrado signos de infección por BADBOX. Esto sugiere una operación generalizada y extensa orquestada por los actores de la amenaza.

Los actores de amenazas pueden modificar la botnet PEACHPIT

Un aspecto notable del esquema de fraude publicitario implica la utilización de aplicaciones falsificadas diseñadas para plataformas Android e iOS. Estas aplicaciones fraudulentas se distribuyen a través de los principales mercados de aplicaciones, incluidos Google Play Store y Apple App Store, y también se descargan automáticamente en dispositivos BADBOX comprometidos. Dentro de estas aplicaciones de Android se encuentra un módulo responsable de generar WebViews ocultas. Estos WebViews ocultos se emplean posteriormente para realizar solicitudes, mostrar anuncios y simular clics en anuncios, todo ello mientras disfrazan estas acciones como si se originaran en aplicaciones legítimas.

Trabajando en colaboración con expertos en ciberseguridad, tanto Apple como Google han logrado avances significativos para interrumpir esta operación. Se ha identificado que una actualización implementada a principios de 2023 elimina de manera efectiva los módulos que impulsan PEACHPIT en dispositivos infectados con BADBOX, en respuesta a los esfuerzos de mitigación implementados en noviembre de 2022. Sin embargo, existen sospechas de que los atacantes están adaptando sus tácticas en un esfuerzo por evadir estas defensas.