Uma botnet de fraude publicitária apelidada de PeachPit infectou de centenas de milhares de dispositivos Android e iOS para gerar lucros para os operadores da ameaça por trás do esquema.
Não se sabe se o nome da botnet é uma alusão à banda canadense de pop indie de mesmo nome, liderada pelo vocalista e guitarrista Neil Smith, ou à editora americana de livros especializados em design gráfico, web design e desenvolvimento de sites.
A botnet faz parte de uma operação com sede na China de codinome BadBox, que também envolve a venda de dispositivos móveis e de TV conectada (CTV) sem marca em varejistas online populares e sites de revenda que contêm uma cepa de malware Android chamada Triada.
“O conglomerado de aplicativos associados à botnet PeachPit foi encontrado em 227 países e territórios, com um pico estimado de 121 mil dispositivos por dia no Android e 159 mil dispositivos por dia no iOS”, disse a empresa de prevenção a fraudes Human.
As infecções teriam sido realizadas por meio de uma coleção de 39 aplicativos que foram instalados mais de 15 milhões de vezes. Os dispositivos equipados com o malware permitiam que os operadores da ameaça roubassem dados confidenciais, criassem pares de saída de proxy residencial e cometessem fraude de anúncios por meio dos aplicativos falsos.
Atualmente, não está claro como os dispositivos Android estão comprometidos com uma backdoor de firmware, mas evidências apontam para um ataque à cadeia de suprimentos de hardware. “Os operadores da ameaça também podem usar os dispositivos ‘backdoored’ para criar contas de mensagens do WhatsApp, roubando senhas únicas dos dispositivos”, disse a empresa. “Além disso, eles podem usar os dispositivos para criar contas do GMail, evitando a detecção típica de bots, porque a conta parece ter sido criada a partir de um tablet ou smartphone normal, por uma pessoa real.”
Detalhes sobre a empreitada criminosa foram documentados pela primeira vez pela Trend Micro em maio, atribuindo-a a uma gangue que ela rastreia como Lemon Group.
A Human disse que identificou ao menos 200 tipos distintos de dispositivos Android, incluindo telefones celulares, tablets e produtos CTV, que exibiram sinais de infecção pelo BadBox, sugerindo uma operação generalizada.
Veja isso
Operadores do Qakbot voltam a atuar, apesar da derrubada
Hackers treinam chatbots de IA para ataques de phishing
Um aspecto da fraude de anúncios que chama atenção é o uso de aplicativos falsificados no Android e iOS disponibilizados nos principais mercados de aplicativos, como a Apple Store e a Google Play Store, bem como aqueles que são baixados automaticamente para dispositivos com a backdoor.
Presente dentro dos aplicativos Android está um módulo responsável por criar WebViews ocultos que são usados para solicitar, renderizar e clicar em anúncios, e mascarar as solicitações de anúncios como originárias de aplicativos legítimos.
A empresa de prevenção de fraudes diz que trabalhou com a Apple e o Google para interromper a operação, acrescentando que “o restante do BadBox deve ser considerado inativo: os servidores de comando e controle (C&C) que alimentam a infecção backdoor do firmware BadBox foram retirados pelos operadores da ameaça”. Veja a análise, em inglês, publicada no blog da Human.
Além disso, uma atualização lançada no início deste ano foi encontrada para remover os módulos que alimentam o PeachPit em dispositivos infectados pelo BadBox em resposta às medidas de mitigação implantadas em novembro de 2022.
