Un botnet di frode pubblicitaria denominato PEACHPIT ha sfruttato una marea di dispostivi, tra cui centinaia di migliaia di dispositivi Android e iOS per generare profitti illeciti per i cybercriminali dietro al piano di hacking.
Le origini di PEACHPIT
Il botnet fa parte di un’operazione più ampia con sede in Cina denominata BADBOX, che comprende anche la vendita di dispositivi mobili e TV connessi di marca sconosciuta su popolari rivenditori online e siti di rivendita che sono stati infettati da un ceppo di malware Android chiamato Triada.
HUMAN ha dichiarato: “Il conglomerato di [varie] app associate al botnet PEACHPIT è stato trovato in 227 paesi e territori, con un picco stimato di 121.000 dispositivi al giorno su Android e 159.000 dispositivi al giorno su iOS“.
Sembra che le infezioni siano state realizzate attraverso una raccolta di 39 app installate più di 15 milioni di volte e che i dispositivi dotati del malware BADBOX hanno consentito agli operatori di rubare dati sensibili, creare peer di uscita proxy residenziali e commettere frodi pubblicitarie attraverso le app fasulle.
Attualmente non è chiaro come i dispositivi Android siano compromessi con un backdoor del firmware, ma le prove indicano che è frutto di un attacco supply chain all’hardware di un produttore cinese.
“Un malintenzionato può anche utilizzare i dispositivi infettati per creare account di messaggistica WhatsApp rubando password monouso dai dispositivi“, ha dichiarato l’azienda.
“Inoltre, i malintenzionati possono utilizzare i dispositivi per creare account Gmail, eludendo la tipica rilevazione dei bot perché l’account sembra essere stato creato da un tablet o smartphone normale, da una persona reale“.
Ma non è tutto, i dettagli sull’impresa criminale sono stati documentati per la prima volta da Trend Micro nel maggio 2023, attribuendoli a un gruppo di hacker che viene chiamato Lemon Group.
HUMAN ha dichiarato di aver identificato almeno 200 tipi distinti di dispositivi Android, tra cui telefoni cellulari, tablet e prodotti CTV, che hanno mostrato segni di infezione da BADBOX, suggerendo un’operazione diffusa.
Un aspetto notevole della frode pubblicitaria eseguita da PEACHPIT è l’uso di app contraffatte (applicazioni fasulle che imitano le vere) su Android e iOS disponibili su importanti mercati delle app come l’Apple App Store e il Google Play Store, nonché su quelle scaricate automaticamente su dispositivi BADBOX infettati.
All’interno delle app Android c’è un modulo responsabile della creazione di WebViews nascosti che vengono poi utilizzati per richiedere, visualizzare e fare clic su annunci, PEACHPIT, infatti fa le richieste di annunci come provenienti da app legittime, una tecnica precedentemente osservata nel caso di VASTFLUX.
La società di prevenzione delle frodi ha reso noto di aver collaborato con Apple e Google per interrompere l’operazione, aggiungendo “il resto di BADBOX dovrebbe essere considerato inattivo: i server C2 che alimentavano l’infezione del backdoor del firmware BADBOX sono stati abbattuti dai malintenzionati“.
Inoltre, è stato scoperto che un aggiornamento distribuito all’inizio di quest’anno ha rimosso i moduli che alimentano PEACHPIT sui dispositivi infettati da BADBOX in risposta alle misure di mitigazione implementate nel novembre 2022.
Detto questo, si sospetta che gli attaccanti stiano adattando le loro tattiche nel tentativo di aggirare le difese; il malware preinstallato sui dispositivi Android è un fenomeno ricorrente almeno dal 2016, principalmente diffuso tramite smartphone e tablet economici, secondo numerosi rapporti dei fornitori di sicurezza informatica Doctor Web e Check Point.
“Ciò che rende le cose peggiori è il livello di occultamento a cui gli operatori sono ricorsi per passare inosservati, segno della loro crescente sofisticazione“, ha dichiarato HUMAN. “Chiunque può acquistare accidentalmente un dispositivo BADBOX online senza mai sapere che fosse falso, collegarlo e aprire inconsapevolmente questo malware con un backdoor“.
Come sapere se mi capita PEACHPIT sul telefono
Questa volta non si parla di un malware che vai a scaricare, bensì di un malware preinstallato su dispositivi economici, la cosa migliore da fare è comprare le marche note e non economiche in questo caso e la soluzione potrebbe essere qualora tu possieda uno di questi dispositivi qualche firmware che non possieda questa problematica.
In ogni caso, una passata di Malwarebytes potrebbe non essere una cattiva idea.