Un botnet de fraude publicitaire surnommé NOYAU DE PÊCHE a exploité une armée de centaines de milliers d’appareils Android et iOS pour générer des profits illicites pour les acteurs menaçants à l’origine de ce stratagème.
Le botnet fait partie d’une opération plus vaste basée en Chine et dont le nom de code est MAUVAISE BOÎTEce qui implique également la vente d’appareils mobiles et de télévision connectée (CTV) hors marque sur des détaillants en ligne populaires et des sites de revente dotés d’une porte dérobée avec un Souche de malware Android appelé Triada.
« Le conglomérat d’applications associées au botnet PEACHPIT a été trouvé dans 227 pays et territoires, avec un pic estimé à 121 000 appareils par jour sur Android et 159 000 appareils par jour sur iOS », HUMAN dit.
Les infections auraient été réalisées grâce à un ensemble de 39 applications installées plus de 15 millions de fois. Les appareils équipés de logiciels malveillants ont permis aux opérateurs de voler des données sensibles, de créer des homologues de sortie proxy résidentiels et de commettre de la fraude publicitaire via de fausses applications.
On ne sait pas encore clairement comment les appareils Android sont compromis par une porte dérobée du micrologiciel, mais les preuves suggèrent une attaque de la chaîne d’approvisionnement matérielle.
« Les acteurs malveillants peuvent également utiliser les appareils dotés de portes dérobées pour créer des comptes de messagerie WhatsApp en volant les mots de passe à usage unique des appareils », a indiqué la société.
« De plus, les acteurs malveillants peuvent utiliser ces appareils pour créer des comptes Gmail, évitant ainsi la détection typique des robots, car le compte semble avoir été créé à partir d’une tablette ou d’un smartphone normal, par une personne réelle. »
Les détails de l’entreprise criminelle ont été documentés pour la première fois par Trend Micro en mai 2023, l’attribuant à un adversaire qu’il suit sous le nom de Lemon Group.
HUMAN a déclaré avoir identifié au moins 200 types d’appareils Android distincts, notamment des téléphones mobiles, des tablettes et des produits CTV, qui ont montré des signes d’infection par BADBOX, ce qui suggère une opération généralisée.
Un aspect notable de la fraude publicitaire est l’utilisation d’applications contrefaites sur Android et iOS mises à disposition sur les principaux marchés d’applications tels que l’App Store d’Apple et le Google Play Store, ainsi que celles qui sont automatiquement téléchargées sur des appareils BADBOX dotés d’une porte dérobée.
Les applications Android contiennent un module chargé de créer des WebViews cachées qui sont ensuite utilisées pour demander, afficher et cliquer sur des publicités, et de masquer les demandes de publicité comme provenant d’applications légitimes, une technique précédemment observée dans le cas de VASTFLUX.
La société de prévention de la fraude a indiqué qu’elle avait travaillé avec Apple et Google pour perturber l’opération, ajoutant que « le reste de BADBOX devrait être considéré comme inactif : les serveurs C2 qui alimentent l’infection par porte dérobée du micrologiciel BADBOX ont été supprimés par les acteurs malveillants ».
De plus, une mise à jour publiée plus tôt cette année a supprimé les modules alimentant PEACHPIT sur les appareils infectés par BADBOX en réponse aux mesures d’atténuation déployées en novembre 2022.
Cela dit, on soupçonne que les attaquants ajustent leurs tactiques dans le but probable de contourner les défenses.
« Ce qui aggrave les choses, c’est le niveau d’obscurcissement auquel les opérateurs ont dû recourir pour ne pas être détectés, signe de leur sophistication accrue », a déclaré HUMAN. « N’importe qui peut accidentellement acheter un appareil BADBOX en ligne sans jamais savoir qu’il s’agit d’un faux, le brancher et ouvrir sans le savoir ce malware de porte dérobée. »