PEACHPIT ボットネット

PEACHPIT として知られる詐欺的なボットネットは、数十万台の Android および iOS デバイスの使用を組織化し、この違法な操作の責任者に違法な利益をもたらしました。このボットネットは、BADBOX と呼ばれる、中国を拠点とする広範な活動の 1 つのコンポーネントにすぎません。BADBOX では、人気のオンライン小売業者や再販プラットフォームを通じて、ブランド外のモバイルおよびコネクテッド TV (CTV) デバイスを販売しています。これらのデバイスは、 Triadaとして知られる Android マルウェア株によって侵害されています。

PEACHPIT ボットネットに関連するアプリケーションのネットワークは、なんと 227 の国と地域で検出されました。ピーク時には、1 日あたり約 121,000 台の Android デバイス、1 日あたり約 159,000 台の iOS デバイスを制御していました。

数百種類の Android デバイスに影響を与える広範な攻撃キャンペーン

感染は、1,500 万回以上ダウンロードおよびインストールされた 39 のアプリケーションのコレクションによって促進されました。 BADBOX マルウェアに感染したデバイスにより、オペレータは機密情報を盗み、住宅用プロキシの出口ポイントを確立し、これらの欺瞞的なアプリケーションを通じて広告詐欺を行うことができるようになります。

ファームウェア バックドアを使用して Android デバイスを侵害する正確な方法は、現時点では不明のままです。ただし、中国のメーカーに関連したハードウェア サプライ チェーン攻撃の可能性を示す証拠があります。攻撃者は、これらの侵害されたデバイスを使用して、デバイスに保存されているワンタイム パスワードを窃取して WhatsApp メッセージング アカウントを作成できます。さらに、サイバー犯罪者はこれらのデバイスを使用して Gmail アカウントをセットアップすることができ、これらのアカウントは本物のユーザーによって標準的なタブレットまたはスマートフォンから作成されたように見えるため、一般的なボット検出メカニズムを効果的に回避できます。

特に懸念されるのは、携帯電話、タブレット、コネクテッド TV 製品など、200 種類を超える Android デバイスで BADBOX 感染の兆候が見られることです。これは、脅威アクターによって組織化された広範かつ大規模な作戦を示唆しています。

脅威アクターが PEACHPIT ボットネットを改ざんする可能性がある

広告詐欺スキームの注目すべき側面の 1 つは、Android および iOS プラットフォーム用に設計された偽造アプリケーションの利用に関係しています。これらの不正アプリは、Google Play ストアや Apple App Store などの主要なアプリケーション マーケットプレイスを通じて配布され、侵害された BADBOX デバイスにも自動的にダウンロードされます。これらの Android アプリケーション内には、非表示の WebView を生成するモジュールがあります。これらの非表示の WebView は、その後、リクエストの作成、広告の表示、広告クリックのシミュレーションに使用され、これらのアクションはすべて正規のアプリケーションからのものであるかのように偽装されます。

Apple と Google はサイバーセキュリティの専門家と協力して、この作戦を阻止する上で大きな進歩を遂げました。 2022 年 11 月に実施された緩和策に応じて、2023 年初頭に展開されたアップデートは、BADBOX に感染したデバイス上で PEACHPIT を動作させるモジュールを効果的に削除するものであることが確認されています。ただし、攻撃者が戦略を適応させて、これらの防御を回避します。