Botnet PEACHPIT

Un botnet frauduleux connu sous le nom de PEACHPIT a orchestré l'utilisation de centaines de milliers d'appareils Android et iOS pour générer des profits illégaux pour les individus responsables de cette opération illicite. Ce botnet n'est qu'un élément d'une opération plus large basée en Chine, appelée BADBOX, qui implique la vente d'appareils mobiles et de télévision connectée (CTV) hors marque via des détaillants en ligne populaires et des plateformes de revente. Ces appareils sont compromis par une souche de malware Android connue sous le nom de Triada .

Le réseau d’applications associé au botnet PEACHPIT a été détecté dans un nombre impressionnant de 227 pays et territoires. À son apogée, il contrôlait environ 121 000 appareils Android et 159 000 appareils iOS par jour.

Une campagne d'attaque généralisée affectant des centaines de types d'appareils Android différents

Les infections ont été facilitées par un ensemble de 39 applications, téléchargées et installées plus de 15 millions de fois. Les appareils infectés par le malware BADBOX ont permis aux opérateurs de voler des informations sensibles, d'établir des points de sortie proxy résidentiels et de se livrer à des fraudes publicitaires via ces applications trompeuses.

La méthode exacte pour compromettre les appareils Android avec une porte dérobée du firmware reste floue à l’heure actuelle. Cependant, il existe des preuves pointant vers une potentielle attaque de la chaîne d’approvisionnement en matériel liée à un fabricant chinois. Grâce à ces appareils compromis, les acteurs malveillants peuvent créer des comptes de messagerie WhatsApp en volant les mots de passe à usage unique stockés sur les appareils. De plus, les cybercriminels peuvent utiliser ces appareils pour créer des comptes Gmail, contournant ainsi les mécanismes classiques de détection des robots, car ces comptes semblent avoir été créés à partir d'une tablette ou d'un smartphone standard par un véritable utilisateur.

Ce qui est particulièrement préoccupant, c'est que plus de 200 types différents d'appareils Android, notamment des téléphones mobiles, des tablettes et des produits de télévision connectés, ont montré des signes d'infection par BADBOX. Cela suggère une opération généralisée et étendue orchestrée par les acteurs de la menace.

Les acteurs menaçants peuvent modifier le botnet PEACHPIT

Un aspect notable du système de fraude publicitaire implique l’utilisation d’applications contrefaites conçues pour les plateformes Android et iOS. Ces applications frauduleuses sont distribuées sur les principaux marchés d'applications, notamment le Google Play Store et l'Apple App Store, et elles sont également automatiquement téléchargées sur les appareils BADBOX compromis. Au sein de ces applications Android se trouve un module chargé de générer des WebViews cachées. Ces WebViews cachées sont ensuite utilisées pour effectuer des requêtes, afficher des publicités et simuler des clics publicitaires, tout en déguisant ces actions comme provenant d'applications légitimes.

En travaillant en collaboration avec des experts en cybersécurité, Apple et Google ont fait des progrès significatifs pour perturber cette opération. Une mise à jour déployée plus tôt en 2023 a été identifiée comme supprimant efficacement les modules qui alimentent PEACHPIT sur les appareils infectés par BADBOX, en réponse aux efforts d'atténuation mis en œuvre en novembre 2022. Cependant, on soupçonne que les attaquants adaptent leurs tactiques dans le but de échapper à ces défenses.