В октябре прошлого года злоумышленники с помощью ботнета, прозванного PEACHPIT, сумели заразить сотни тысяч устройств на Android и iOS. Их цель заключалась в незаконном заработке на скликивании рекламы.
Ботнет PEACHPIT является частью более крупной операции за авторством китайских хакеров под кодовым названием BADBOX. Группировка также занимается продажей небрендовых мобильных и CTV-устройств с вредоносной «начинкой» Triada в популярных интернет-магазинах и на сайтах реселлеров.
«PEACHPIT был обнаружен в 227 странах. Предполагается, что ежедневно этот ботнет мог заражать до 121 тыс. устройств на Android и 159 000 устройств на iOS», — сообщают аналитики сервиса кибербезопасности HUMAN.
Сообщается, что устройства могли заражаться через 39 приложений, содержащих код вредоноса, с суммарным количеством скачиваний более 15 миллионов раз. Ранее мы писали о вредоносных приложениях, обнаруженных в Google Play и App Store, с 2 млн установок.
Устройства с вредоносом BADBOX позволяли ботнет-операторам красть конфиденциальные данные пользователей, создавать локальные выходные узлы прокси-сервера и совершать мошенничество с рекламой через поддельные приложения.
В настоящее время неизвестно, каким образом происходило заражение устройств на ОС Android. Согласно данным экспертов, вероятнее всего в страны поставлялись устройств китайских производителей с уже встроенным бэкдором.
«Злоумышленники также использовали скомпрометированные устройства для создания учетных записей в WhatsApp через кражу одноразовых паролей. Также они создавали почтовые ящики в Gmail через обход стандартных фильтров защиты от ботов, поскольку вредонос умело имитировал поведение реальных пользователей», — заявили в компании.
Впервые запись о новом ботнете, нацеленном на мошенничество с рекламой, была опубликована в отчете специалистов компании Trend Micro в мае 2023 года. Тогда они приписали его деятельность отслеживаемой ими киберпреступной группировке Lemon Group.
Эксперты компании Human смогли выявить порядка 200 различных типов устройств на ОС Android, включая смартфоны, планшеты и CTV, в составе которых были обнаружены признаки заражения вредоносом Badbox, что говорило о массовом характере распространения вредоносного ПО. Примечателен тот факт, что приложения, предназначенные для скликивания рекламы, свободно размещались в Apple App Store и Google Play Store.
Специалисты выяснили, что в приложениях для Android присутствует модуль, ответственный за создание скрытых компонентов WebView, которые в фоновом режиме отправляли запросы и отображали веб-страницы с рекламой для последующего скликивания. Кроме того, они маскировали запросы рекламы — якобы те исходили от официальных приложений. Этот метод уже был известен — ранее другая кибергруппа применяла его для распространения и проведения атак ботнета VASTFLUX.
На момент атаки специалистами кибербезопасности Human, Google и другими компаниями на центральные C2-сервера ботнета, включая BADBOX, те уже были отключены злоумышленниками. Более того, киберпреступники запустили обновление вредоноса, которое удаляло модули, питающие ботнет PEACHPIT. При этом эксперты предположили, что хакеры корректировали свою тактику в попытке обойти системы блокировки.
Согласно многочисленным отчетам компаний Doctor Web и Check Point, предустановленное вредоносное ПО на устройствах Android — явление не новое, по крайней мере, датируется 2016 годом, в основном оно распространялось через дешевые смартфоны и планшеты.
«Злоумышленники, чтобы остаться незамеченными, максимально запутывали свои следы во всей цепочке атаки, что говорит о ее высокой сложности», — заявили в HUMAN. «Любой может случайно купить устройство с BADBOX, даже не подозревая, что оно поддельное. Вопрос в активации вредоносного ПО был делом времени».
А мы напоминаем о важности установки антивирусных программ на свои устройства. Актуальное обновление баз позволит избежать заражения устройства вредоносным ПО. Рекламодатели же и владельцы сайтов могут защитить себя от бот-атак и недействительного трафика с помощью систем кибербезопасности, например Botfaqtor.