PEACHPIT: Botnet de Fraude Publicitario Afecta a Millones de Dispositivos Android e iOS en Operación Global

PEACHPIT: Botnet de Fraude Publicitario Afecta a Millones de Dispositivos Android e iOS en Operación Global

Un botnet de fraude publicitario llamado PEACHPIT utilizó cientos de miles de dispositivos Android e iOS para generar ganancias ilícitas para los actores de amenazas detrás del esquema. Este botnet es parte de una operación más grande con base en China denominada BADBOX, que también incluye la venta de dispositivos móviles y televisores conectados de marcas no reconocidas en tiendas en línea populares, los cuales vienen con un malware de Android llamado Triada.

El botnet PEACHPIT y sus aplicaciones asociadas se encontraron en 227 países y territorios, con un pico estimado de 121,000 dispositivos al día en Android y 159,000 dispositivos al día en iOS. Las infecciones se realizaron a través de 39 aplicaciones que se instalaron más de 15 millones de veces. Los dispositivos con el malware permitieron a los operadores robar datos sensibles, crear puntos de salida de proxy residenciales y cometer fraudes publicitarios a través de las aplicaciones falsas.

No está claro cómo se comprometen los dispositivos Android con un backdoor de firmware, pero hay evidencia que apunta a un ataque en la cadena de suministro de hardware. Los actores de amenazas también pueden usar los dispositivos comprometidos para crear cuentas de WhatsApp y Gmail, evadiendo la detección típica de bots.

Trend Micro documentó por primera vez detalles sobre esta empresa criminal en mayo de 2023, atribuyéndola a un adversario que rastrea como Lemon Group. Se identificaron al menos 200 tipos distintos de dispositivos Android infectados con BADBOX, lo que sugiere una operación generalizada.

Un aspecto notable del fraude publicitario es el uso de aplicaciones falsas en Android e iOS disponibles en tiendas de aplicaciones principales. Estas aplicaciones contienen un módulo responsable de crear WebViews ocultos que se utilizan para solicitar, renderizar y hacer clic en anuncios, simulando que las solicitudes de anuncios provienen de aplicaciones legítimas.

La firma de prevención de fraudes trabajó con Apple y Google para interrumpir la operación. Se descubrió que una actualización lanzada anteriormente este año eliminó los módulos que alimentaban PEACHPIT en dispositivos infectados con BADBOX. Sin embargo, se sospecha que los atacantes están ajustando sus tácticas para eludir las defensas.

HUMAN, una entidad involucrada en el análisis, mencionó que el nivel de ofuscación que los operadores utilizaron para pasar desapercibidos es una señal de su creciente sofisticación. Cualquier persona podría comprar accidentalmente un dispositivo BADBOX en línea sin saber que era falso, conectándolo y abriendo sin saberlo este malware de backdoor.