Una botnet de fraude publicitario denominada SEMILLA DE DURAZNO aprovechó un ejército de cientos de miles de dispositivos Android e iOS para generar ganancias ilícitas para los actores de amenazas detrás del plan.
La botnet es parte de una operación más grande con sede en China cuyo nombre en código caja malaque también implica vender dispositivos móviles y de TV conectada (CTV) sin marca en minoristas en línea populares y sitios de reventa que tienen una puerta trasera con un Cepa de malware para Android llamado Tríada.
«El conglomerado de aplicaciones asociadas a la botnet PEACHPIT se encontró en 227 países y territorios, con un pico estimado de 121.000 dispositivos por día en Android y 159.000 dispositivos por día en iOS», HUMAN dicho.
Se dice que las infecciones se realizaron a través de una colección de 39 aplicaciones que se instalaron más de 15 millones de veces. Los dispositivos equipados con malware permitieron a los operadores robar datos confidenciales, crear pares de salida de proxy residenciales y cometer fraude publicitario a través de aplicaciones falsas.
Actualmente no está claro cómo los dispositivos Android se ven comprometidos con una puerta trasera de firmware, pero la evidencia apunta a un ataque a la cadena de suministro de hardware.
«Los actores de amenazas también pueden utilizar los dispositivos con puerta trasera para crear cuentas de mensajería de WhatsApp robando contraseñas de un solo uso de los dispositivos», dijo la compañía.
«Además, los actores de amenazas pueden usar los dispositivos para crear cuentas de Gmail, evadiendo la típica detección de bots porque la cuenta parece haber sido creada desde una tableta o teléfono inteligente normal, por una persona real».
Trend Micro documentó por primera vez los detalles sobre la empresa criminal en mayo de 2023, atribuyéndola a un adversario al que rastrea como Lemon Group.
HUMAN dijo que identificó al menos 200 tipos distintos de dispositivos Android, incluidos teléfonos móviles, tabletas y productos CTV, que han mostrado signos de infección BADBOX, lo que sugiere una operación generalizada.
Un aspecto notable del fraude publicitario es el uso de aplicaciones falsificadas en Android e iOS disponibles en los principales mercados de aplicaciones, como Apple App Store y Google Play Store, así como aquellas que se descargan automáticamente en dispositivos BADBOX con puerta trasera.
Dentro de las aplicaciones de Android hay un módulo responsable de crear WebViews ocultos que luego se utilizan para solicitar, representar y hacer clic en anuncios, y enmascarar las solicitudes de anuncios como si se originaran en aplicaciones legítimas, una técnica observada previamente en el caso de VASTFLUX.
La firma de prevención de fraude señaló que trabajó con Apple y Google para interrumpir la operación, y agregó que «el resto de BADBOX debe considerarse inactivo: los servidores C2 que alimentan la infección de puerta trasera del firmware BADBOX han sido eliminados por los actores de amenazas».
Es más, se descubrió que una actualización lanzada a principios de este año elimina los módulos que alimentan PEACHPIT en dispositivos infectados con BADBOX en respuesta a las medidas de mitigación implementadas en noviembre de 2022.
Dicho esto, se sospecha que los atacantes están ajustando sus tácticas en un probable intento de eludir las defensas.
«Lo que empeora las cosas es el nivel de confusión por el que pasaron los operadores para pasar desapercibidos, una señal de su mayor sofisticación», dijo HUMAN. «Cualquiera puede comprar accidentalmente un dispositivo BADBOX en línea sin saber que es falso, enchufarlo y, sin saberlo, abrir este malware de puerta trasera».