Botnet Malvertising (penipuan iklan) bernama PEACHPIT mengeksploitasi ratusan ribu perangkat Android dan iOS untuk menghasilkan keuntungan ilegal bagi mereka yang berada di balik skema iklan palsu tersebut.
Dilansir dari Cyberthreat ID, botnet ini adalah bagian dari operasi lebih besar yang berbasis di Cina yang disebut BADBOX, yang juga mencakup penjualan perangkat seluler tidak bermerek dan TV yang terhubung (CTV) di pengecer online populer, dan di situs ritel terdapat jenis malware Android yang disebut Triada.
“Kumpulan aplikasi yang terhubung dengan botnet PEACHPIT terdeteksi di 227 negara dan wilayah, dengan perkiraan tertinggi adalah 121.000 perangkat per hari di Android dan 159.000 perangkat di iOS” kata HUMAN kepada The Hacker News.
Infeksi tersebut diyakini terjadi melalui 39 aplikasi yang diinstal lebih dari 15 juta kali. Perangkat yang dilengkapi malware BADBOX memungkinkan operator mencuri data sensitif, membuat proxy keluar perumahan, dan melakukan penipuan iklan melalui aplikasi palsu. Masih belum jelas bagaimana perangkat Android bisa disusupi oleh firmware backdoor, namun bukti menunjukkan adanya serangan rantai pasokan perangkat keras yang dilakukan oleh pabrikan Cina.
“Pelaku jahat juga dapat menggunakan perangkat backdoor untuk membuat akun email WhatsApp dengan mencuri kata sandi satu kali dari perangkat tersebut,” kata perusahaan itu.
“Selain itu, pelaku kejahatan dapat menggunakan perangkat ini untuk membuat akun Gmail, menghindari deteksi bot biasa karena akun tersebut tampaknya dibuat di tablet atau ponsel pintar biasa oleh orang sungguhan.”
Rincian usaha kriminal ini pertama kali dicatat oleh Trend Micro pada Mei 2023 dan mengaitkannya dengan musuh yang dilacaknya dengan nama Lemon Group. HUMAN telah mengidentifikasi setidaknya 200 jenis perangkat Android, termasuk ponsel, tablet, dan produk CTV, yang menunjukkan tanda-tanda infeksi BADBOX, yang mengindikasikan aktivitas yang meluas. Aspek penting dari penipuan iklan adalah penggunaan aplikasi Android dan iOS palsu yang tersedia di pasar aplikasi utama seperti Apple App Store dan Google Play Store, serta aplikasi yang diunduh secara otomatis. Perangkat BADBOX memiliki backdoor.
Baca Juga : Usai Nyatakan Perang, Lebih Dari 60 Website Israel Lumpuh Akibat Serangan Hacker
Hadir dalam aplikasi Android adalah modul yang bertanggung jawab untuk membuat WebView tersembunyi yang kemudian digunakan untuk meminta, menampilkan, dan mengklik iklan, sekaligus menyamarkan permintaan iklan sebagai berasal dari suatu aplikasi. Secara hukum, teknik ini terlihat sebelumnya dalam kasus VASTFLUX.
Perusahaan pencegahan penipuan mengatakan pihaknya bekerja sama dengan Apple dan Google untuk mengganggu operasi tersebut, menambahkan “Sisa BADBOX harus dianggap tidak aktif: Server C2 yang menyebabkan infeksi backdoor firmware BADBOX telah dihapus oleh pelaku kejahatan.”
Selain itu, pembaruan yang diluncurkan awal tahun ini tampaknya telah menghapus modul dukungan PEACHPIT pada perangkat yang terinfeksi BADBOX sebagai respons terhadap mitigasi yang diterapkan pada November 2022. Namun, nampaknya para penyerang telah menyesuaikan taktik mereka untuk menghindari pertahanan. Menurut beberapa laporan dari vendor keamanan siber Doctor Web dan Check Point, malware pra-instal di perangkat Android telah menjadi fenomena yang berulang setidaknya sejak tahun 2016, dan menyebar terutama melalui ponsel pintar dan tablet murah. “Yang memperburuk masalah ini adalah tingkat kebingungan di antara para operator yang tidak diperhatikan, sebuah tanda semakin canggihnya mereka,” kata HUMAN.
“Siapa pun dapat secara tidak sengaja membeli perangkat BADBOX secara online tanpa mengetahui bahwa itu adalah perangkat palsu, lalu menghubungkannya, dan tanpa sadar membuka malware backdoor ini.”
