PEACHPIT: شبكة بوت نت ضخمة للاحتيال الإعلاني مدعومة بملايين أجهزة Android وiOS المخترقة. كشف تقرير جديد عن شبكة بوتنت ضخمة للإعلانات الاحتيالية تسمى PEACHPIT، والتي استغلت مئات الآلاف من أجهزة Android و iOS لتوليد أرباح غير قانونية للقراصنة.
شبكة البوتنت هي جزء من عملية أكبر مقرها الصين تسمى BADBOX، والتي تنطوي أيضًا على بيع أجهزة الهاتف المحمول وأجهزة التلفزيون المتصل (CTV) غير ذات العلامة التجارية على تجار التجزئة عبر الإنترنت الشهيرة ومواقع إعادة البيع المثبتة ببرامج ضارة لنظام Android تسمى Triada.
وقال تقرير شركة HUMAN إن “تكتل التطبيقات المرتبط بشبكة بوتنت PEACHPIT موجود في 227 دولة وإقليم. ويبلغ ذروة تقديرية تبلغ 121 ألف جهاز يوميًا على Android و 159 ألف جهاز يوميًا على iOS”.
يقال إن الإصابات قد تحققت من خلال مجموعة من 39 تطبيقًا تم تثبيتها أكثر من 15 مليون مرة. سمحت الأجهزة المزودة ببرامج BADBOX الضارة للمشغلين بسرقة البيانات الحساسة، وإنشاء نظراء خروج الوكيل السكني، وارتكاب الاحتيال في الإعلانات من خلال التطبيقات الوهمية.
ليس من الواضح حاليًا كيف يتم اختراق أجهزة Android باستخدام ثغرة أمنية في البرامج الثابتة، لكن الأدلة تشير إلى هجوم على سلسلة توريد الأجهزة لشركة مصنعة صينية.
وقالت الشركة: “يمكن للمهاجمين أيضًا استخدام الأجهزة المخترقة لإنشاء حسابات مراسلة WhatsApp عن طريق سرقة كلمات مرور لمرة واحدة من الأجهزة”.
“بالإضافة إلى ذلك. يمكن للمهاجمين استخدام الأجهزة لإنشاء حسابات Gmail. والتهرب من اكتشاف الروبوتات النموذجي لأن الحساب يبدو وكأنه تم إنشاؤه من جهاز لوحي أو هاتف ذكي عادي. بواسطة شخص حقيقي.”
شبكة بوتنت الاحتيال في الإعلانات
تم توثيق تفاصيل المنظمة الإجرامية لأول مرة من قبل Trend Micro في مايو 2023. ونسبتها إلى خصم تتبعه باسم Lemon Group.
وقالت شركة HUMAN إنها حددت ما لا يقل عن 200 نوع مختلف من أجهزة Android. بما في ذلك الهواتف المحمولة والأجهزة اللوحية ومنتجات CTV. والتي أظهرت علامات على إصابة BADBOX. بينما يشير إلى عملية واسعة النطاق.
من الجوانب البارزة للاحتيال في الإعلانات استخدام تطبيقات مزيفة على Android و iOS متاحة في متاجر التطبيقات الرئيسية مثل Apple App Store و Google Play Store بالإضافة إلى تلك التي يتم تنزيلها تلقائيًا إلى أجهزة BADBOX المخترقة.
توجد وحدة داخل تطبيقات Android مسؤولة عن إنشاء WebViews مخفية يتم استخدامها بعد ذلك لطلب الإعلانات وعرضها والنقر عليها. وإخفاء طلبات الإعلانات على أنها صادرة من تطبيقات مشروعة. وهي تقنية سبق ملاحظتها في حالة VASTFLUX.
وأشارت شركة منع الاحتيال إلى أنها عملت مع Apple و Google لتعطيل العملية. من ناحية أخرى مضيفة “يجب اعتبار ما تبقى من BADBOX خاملاً: تم إغلاق خوادم C2 التي تغذي إصابة ثغرة أمنية البرامج الثابتة BADBOX بواسطة الجهات الفاعلة بالتهديد”.
ما هو أكثر من ذلك. تم العثور على تحديث تم طرحه في وقت سابق من هذا العام على أنه يزيل الوحدات التي تغذي PEACHPIT على الأجهزة المصابة بـ BADBOX استجابةً لتدابير التخفيف التي تم نشرها في نوفمبر 2022.
ومع ذلك. يشتبه في أن المهاجمين يقومون بتعديل تكتيكاتهم في محاولة محتملة لتجاوز الدفاعات.
لقد كانت البرامج الضارة المثبتة مسبقًا على أجهزة Android ظاهرة متكررة منذ عام 2016 على الأقل. ويتم نشرها بشكل أساسي عبر الهواتف الذكية والأجهزة اللوحية منخفضة التكلفة. وفقًا لتقارير متعددة من بائعي الأمن السيبراني Doctor Web و Check Point.
في النهاية قالت شركة HUMAN: “ما يجعل الأمر أسوأ هو مستوى التعتيم الذي مر به المشغلون لتجنب الاكتشاف. من ناحية أخرى هي علامة على تزايد تطورهم.
PEACHPIT: شبكة بوت نت ضخمة للاحتيال الإعلاني مدعومة بملايين أجهزة Android وiOS المخترقة. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.