Uma botnet de fraude em anúncios, apelidada de Peachpit, utilizou um exército de centenas de milhares de dispositivos Android e iOS para gerar lucros ilícitos para os atores de ameaças por trás do esquema.
A botnet faz parte de uma operação maior baseada na China, codinome Badbox, que também envolve a venda de dispositivos móveis e de televisão conectada (CTV) de marcas fora de linha em varejistas online populares e sites de revenda que são comprometidos com uma cepa de malware Android chamada Triada.
"A botnet Peachpit tinha uma coleção de aplicativos associados encontrados em 227 países e territórios, com um pico estimado de 121.000 dispositivos por dia no Android e 159.000 dispositivos por dia no iOS", disse a HUMAN.
As infecções teriam sido realizadas através de uma coleção de 39 aplicativos instalados mais de 15 milhões de vezes.
Dispositivos equipados com o malware Badbox permitiram aos operadores roubar dados sensíveis, criar pontos de saída de proxy residencial, e cometer fraude em anúncios por meio dos aplicativos falsos.
Atualmente não está claro como os dispositivos Android são comprometidos com um backdoor de firmware, mas as evidências apontam para um ataque à cadeia de suprimentos de hardware de um fabricante chinês.
"Atores de ameaças também podem usar os dispositivos comprometidos para criar contas de mensagens no WhatsApp, roubando senhas de uso único dos dispositivos", disse a empresa.
"Além disso, atores de ameaças podem usar os dispositivos para criar contas do Gmail, evitando a detecção típica de bot porque a conta parece ter sido criada a partir de um tablet normal ou smartphone, por uma pessoa real."
Detalhes sobre a empresa criminosa foram documentados pela primeira vez pela Trend Micro em maio de 2023, atribuindo-a a um adversário conhecido como Lemon Group.
A HUMAN disse que identificou pelo menos 200 tipos distintos de dispositivos Android, incluindo celulares, tablets e produtos CTV, que apresentaram sinais de infecção BADBOX, sugerindo uma operação difundida.
Um aspecto notável da fraude em anúncios é o uso de aplicativos falsificados no Android e iOS disponíveis em grandes marketplaces de aplicativos, como a Apple App Store e a Google Play Store, bem como aqueles que são automaticamente baixados para dispositivos BADBOX com backdoor.
Presente nos aplicativos Android está um módulo responsável por criar WebViews ocultos que são usados para solicitar, renderizar, e clicar em anúncios, e mascarar as solicitações de anúncios como provenientes de aplicativos legítimos, uma técnica observada anteriormente no caso de Vastflux.
A empresa de prevenção de fraudes observou que trabalhou com a Apple e o Google para interromper a operação, acrescentando que "o restante do Badbox deve ser considerado dormente: os servidores C2 responsáveis pela infecção por backdoor de firmware Badbox foram derrubados pelos atores de ameaça."
Além disso, uma atualização lançada no início deste ano foi encontrada para remover os módulos que alimentam o Peachpit em dispositivos infectados pelo Badbox em resposta às medidas de mitigação implementadas em novembro de 2022.
Dito isto, suspeita-se que os agressores estejam ajustando suas táticas na tentativa de contornar as defesas.
Malware pré-instalado em dispositivos Android tem sido um fenômeno recorrente desde pelo menos 2016, principalmente propagado por smartphones e tablets de baixo custo, de acordo com vários relatórios de fornecedores de segurança cibernética Doctor Web e Check Point.
"O que piora a situação é o nível de ofuscação a que os operadores recorreram para passar despercebidos, um sinal de sua maior sofisticação", disse a HUMAN.
"Qualquer um pode acidentalmente comprar um dispositivo Badbox online sem nunca saber que é falso, conectá-lo, e inadvertidamente abrir este malware de backdoor."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...