PEACHPIT: Botnet lừa đảo quảng cáo khổng lồ được hỗ trợ bởi hàng triệu Android và iOS bị tấn công

www.tuoitre.vn -   05/10/2023 08:00:00 1241

Một mạng botnet lừa đảo quảng cáo có tên PEACHPIT đã tận dụng đội quân hàng trăm nghìn thiết bị Android và iOS để tạo ra lợi nhuận bất hợp pháp cho những kẻ đe dọa đằng sau kế hoạch này.

PEACHPIT: Botnet lừa đảo quảng cáo khổng lồ được hỗ trợ bởi hàng triệu Android và iOS bị tấn công

Mạng botnet này là một phần của hoạt động lớn hơn có trụ sở tại Trung Quốc có tên mã BADBOX, cũng bao gồm việc bán các thiết bị di động và TV kết nối (CTV) không có thương hiệu trên các nhà bán lẻ trực tuyến phổ biến và các trang web bán lại có chứa một loại phần mềm độc hại Android có tên Triada.

HUMAN cho biết: “Tập hợp các ứng dụng liên quan của botnet PEACHPIT đã được tìm thấy ở 227 quốc gia và vùng lãnh thổ, với mức cao nhất ước tính là 121.000 thiết bị mỗi ngày trên Android và 159.000 thiết bị mỗi ngày trên iOS”.

Sự lây nhiễm được cho là đã được thực hiện thông qua bộ sưu tập 39 ứng dụng được cài đặt hơn 15 triệu lần. Các thiết bị được cài phần mềm độc hại BADBOX cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm, tạo các đồng nghiệp thoát proxy dân cư và thực hiện hành vi gian lận quảng cáo thông qua các ứng dụng không có thật.

Hiện tại vẫn chưa rõ các thiết bị Android bị xâm phạm bằng backdoor firmware như thế nào, nhưng bằng chứng chỉ ra một cuộc tấn công chuỗi cung ứng phần cứng của một nhà sản xuất Trung Quốc.

Công ty cho biết: “Những kẻ đe dọa cũng có thể sử dụng các thiết bị có cửa sau để tạo tài khoản nhắn tin WhatsApp bằng cách đánh cắp mật khẩu một lần từ thiết bị”.

“Ngoài ra, những kẻ đe dọa có thể sử dụng thiết bị này để tạo tài khoản Gmail, tránh bị phát hiện bot thông thường vì tài khoản trông giống như được tạo từ một máy tính bảng hoặc điện thoại thông minh bình thường bởi một người thực.”

Thông tin chi tiết về doanh nghiệp tội phạm này lần đầu tiên được Các chuyên gia bảo mật ghi lại vào tháng 5 năm 2023, cho rằng nó thuộc về một đối thủ mà nó theo dõi là Lemon Group.

HUMAN cho biết họ đã xác định được ít nhất 200 loại thiết bị Android khác nhau, bao gồm điện thoại di động, máy tính bảng và các sản phẩm CTV, có dấu hiệu nhiễm BADBOX, cho thấy hoạt động này đang lan rộng.

Một khía cạnh đáng chú ý của gian lận quảng cáo là việc sử dụng các ứng dụng giả mạo trên Android và iOS được cung cấp trên các thị trường ứng dụng lớn như Apple App Store và Google Play Store cũng như những ứng dụng được tự động tải xuống các thiết bị BADBOX có cửa sau.

Hiện diện trong ứng dụng Android là một mô-đun chịu trách nhiệm tạo các WebView ẩn sau đó được sử dụng để yêu cầu, hiển thị và nhấp vào quảng cáo, đồng thời giả mạo các yêu cầu quảng cáo là có nguồn gốc từ các ứng dụng hợp pháp, một kỹ thuật đã được quan sát trước đây trong trường hợp VASTFLUX.

Công ty phòng chống gian lận lưu ý rằng họ đã làm việc với Apple và Google để làm gián đoạn hoạt động, đồng thời bổ sung thêm "phần còn lại của BADBOX nên được coi là không hoạt động: các máy chủ C2 hỗ trợ việc lây nhiễm cửa sau phần sụn BADBOX đã bị các tác nhân đe dọa gỡ bỏ."

Hơn nữa, một bản cập nhật được phát hành vào đầu năm nay đã được phát hiện loại bỏ các mô-đun cung cấp năng lượng cho PEACHPIT trên các thiết bị bị nhiễm BADBOX nhằm đáp ứng các biện pháp giảm thiểu được triển khai vào tháng 11 năm 2022.

Tuy nhiên, người ta nghi ngờ rằng những kẻ tấn công đang điều chỉnh chiến thuật của họ nhằm cố gắng vượt qua hàng phòng thủ.

Theo nhiều báo cáo từ các nhà cung cấp an ninh mạng, phần mềm độc hại được cài đặt sẵn trên thiết bị Android đã trở thành một hiện tượng tái diễn ít nhất kể từ năm 2016, chủ yếu lây lan qua điện thoại thông minh và máy tính bảng giá rẻ.

HUMAN cho biết: “Điều khiến vấn đề trở nên tồi tệ hơn là mức độ che giấu mà các nhà điều hành đã trải qua để không bị phát hiện, một dấu hiệu cho thấy sự tinh vi ngày càng tăng của họ”. “Bất kỳ ai cũng có thể vô tình mua thiết bị BADBOX trực tuyến mà không hề biết đó là hàng giả, cắm điện và vô tình mở phần mềm độc hại cửa sau này.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 208
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 157
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 281
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 274
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 294
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 156
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

LIÊN HỆ

Thông tin liên hệ