PEACHPIT-Botnet

Ein betrügerisches Botnetz namens PEACHPIT orchestrierte die Nutzung Hunderttausender Android- und iOS-Geräte, um den für diesen illegalen Vorgang verantwortlichen Personen unrechtmäßige Gewinne zu erwirtschaften. Dieses Botnetz ist nur eine Komponente einer umfassenderen Operation mit Sitz in China, die als BADBOX bezeichnet wird und den Verkauf von mobilen und vernetzten TV-Geräten (CTV) anderer Marken über beliebte Online-Händler und Wiederverkaufsplattformen umfasst. Diese Geräte sind mit einer Android-Malware namens Triada infiziert.

Das mit dem PEACHPIT-Botnetz verbundene Anwendungsnetzwerk wurde in sage und schreibe 227 Ländern und Territorien entdeckt. Zu Spitzenzeiten kontrollierte es etwa 121.000 Android-Geräte pro Tag und 159.000 iOS-Geräte pro Tag.

Eine weit verbreitete Angriffskampagne, die Hunderte verschiedener Android-Gerätetypen betrifft

Die Infektionen wurden durch eine Sammlung von 39 Anwendungen erleichtert, die über 15 Millionen Mal heruntergeladen und installiert wurden. Mit der BADBOX-Malware infizierte Geräte gaben den Betreibern die Möglichkeit, vertrauliche Informationen zu stehlen, Proxy-Ausstiegspunkte für Privathaushalte einzurichten und über diese betrügerischen Anwendungen Werbebetrug zu betreiben.

Die genaue Methode zur Kompromittierung von Android-Geräten mit einer Firmware-Hintertür ist derzeit noch unklar. Es gibt jedoch Hinweise, die auf einen möglichen Angriff auf die Hardware-Lieferkette im Zusammenhang mit einem chinesischen Hersteller hinweisen. Mithilfe dieser kompromittierten Geräte können Bedrohungsakteure WhatsApp-Messaging-Konten erstellen, indem sie auf den Geräten gespeicherte Einmalkennwörter stehlen. Darüber hinaus können Cyberkriminelle diese Geräte nutzen, um Gmail-Konten einzurichten und so typische Bot-Erkennungsmechanismen effektiv zu umgehen, da diese Konten scheinbar von einem echten Benutzer auf einem Standard-Tablet oder Smartphone erstellt wurden.

Besonders besorgniserregend ist, dass über 200 verschiedene Arten von Android-Geräten, darunter Mobiltelefone, Tablets und Connected-TV-Produkte, Anzeichen einer BADBOX-Infektion aufweisen. Dies deutet auf eine weit verbreitete und umfangreiche Operation hin, die von den Bedrohungsakteuren orchestriert wurde.

Bedrohungsakteure können das PEACHPIT-Botnetz modifizieren

Ein bemerkenswerter Aspekt des Werbebetrugs ist die Verwendung gefälschter Anwendungen, die für Android- und iOS-Plattformen entwickelt wurden. Diese betrügerischen Apps werden über große Anwendungsmarktplätze wie den Google Play Store und den Apple App Store verbreitet und auch automatisch auf kompromittierte BADBOX-Geräte heruntergeladen. In diesen Android-Anwendungen befindet sich ein Modul, das für die Generierung versteckter WebViews verantwortlich ist. Diese versteckten WebViews werden anschließend verwendet, um Anfragen zu stellen, Anzeigen anzuzeigen und Anzeigenklicks zu simulieren, wobei diese Aktionen gleichzeitig als von legitimen Anwendungen stammend getarnt werden.

In Zusammenarbeit mit Cybersicherheitsexperten haben sowohl Apple als auch Google erhebliche Fortschritte bei der Störung dieses Vorgangs erzielt. Es wurde festgestellt, dass ein Anfang 2023 eingeführtes Update die Module, die PEACHPIT auf mit BADBOX infizierten Geräten betreiben, effektiv entfernt, als Reaktion auf die im November 2022 umgesetzten Eindämmungsbemühungen. Es besteht jedoch der Verdacht, dass die Angreifer ihre Taktiken anpassen, um dies zu verhindern diesen Abwehrmaßnahmen ausweichen.