Un réseau de fraude publicitaire appelé PEACHPIT a utilisé des centaines de milliers d’appareils Android et iOS pour générer des profits illégaux pour les criminels derrière ce stratagème. Ce botnet fait partie d’une opération plus vaste basée en Chine, nommée BADBOX, qui implique également la vente d’appareils mobiles et de télévision connectée (CTV) génériques sur des sites de vente en ligne populaires et des sites de revente. Ces appareils sont infectés par un logiciel malveillant Android appelé Triada.
HUMAN, une société de prévention de la fraude, a révélé que les applications associées au botnet PEACHPIT étaient présentes dans 227 pays et territoires, avec un pic estimé de 121 000 appareils par jour sur Android et 159 000 appareils par jour sur iOS. Ces infections ont été causées par une collection de 39 applications installées plus de 15 millions de fois. Les appareils infectés ont permis aux opérateurs de voler des données sensibles, de créer des proxies résidentiels et de commettre une fraude publicitaire grâce à ces applications frauduleuses.
La méthode exacte par laquelle les appareils Android sont compromis avec une porte dérobée au niveau du firmware reste floue, mais des preuves pointent vers une attaque de la chaîne d’approvisionnement matérielle. Les criminels peuvent également utiliser ces appareils compromis pour créer des comptes de messagerie WhatsApp en volant les mots de passe à usage unique des appareils. De plus, ils peuvent utiliser ces appareils pour créer des comptes Gmail, échappant ainsi à la détection des bots, car ces comptes semblent avoir été créés à partir de tablettes ou de smartphones normaux, par des personnes réelles.
HUMAN a identifié au moins 200 types d’appareils Android différents, y compris des téléphones mobiles, des tablettes et des produits CTV, qui ont montré des signes d’infection par BADBOX, indiquant ainsi l’ampleur de l’opération. Une caractéristique importante de cette fraude publicitaire est l’utilisation d’applications contrefaites sur Android et iOS, disponibles sur des plateformes de téléchargement d’applications majeures telles que l’App Store d’Apple et le Google Play Store, ainsi que sur les appareils BADBOX infectés par téléchargement automatique.
Ces applications Android contiennent un module capable de créer des WebViews cachées utilisées pour demander, afficher et cliquer sur des publicités. Ces demandes publicitaires sont dissimulées en provenance d’applications légitimes, une technique déjà observée dans le cas de VASTFLUX.
HUMAN a collaboré avec Apple et Google pour perturber l’opération, réussissant à mettre hors service les serveurs de commande et de contrôle de l’infection par la porte dérobée du firmware BADBOX. Malgré cela, les attaquants ajustent probablement leurs tactiques pour tenter de contourner les défenses. Ce qui rend la situation encore plus préoccupante, c’est le niveau d’obscurcissement auquel les opérateurs ont eu recours pour passer inaperçus, démontrant ainsi leur sophistication accrue. Il est donc possible d’acheter en ligne un appareil BADBOX contrefait sans le savoir, de le brancher et d’ouvrir involontairement cette porte dérobée malveillante.