PEACHPIT, czyli Ad Fraud wbudowany w urządzenie!
źródło: opracowanie własne
4 października na blogu www.humansecurity.com, oficjalnym blogu firmy Human zajmującym się bezpieczeństwem w sieci, pojawił się wpis dotyczący Ad Fraudu PEACHPIT, który stanowił część schematu działań cyberprzestępców BADBOX. Jak twierdzi Zespół ds. Analizy i Badań nad Zagrożeniami Satori firmy HUMAN, sprawa dotyczy ponad 74 000 telefonów komórkowych, tabletów i urządzeń CTV z systemem Android na świecie. Ale to nie wszystko – sam Ad Fraud wykraczał poza działania BADBOX, choć początkowo stanowił jego integralną część, i w szczytowym momencie do przeprowadzenia oszustwa wykorzystywane było dziennie ponad 121 000 urządzeń opartych na Androidzie i 159 000 urządzeń z oprogramowaniem iOS, co pozwalało na wyświetlanie w sposób niewidoczny dla użytkowników nawet 4 miliardów reklam w ciągu jednej doby!
Jak działa BADBOX?
Zanim dokładniej przyjrzymy się jak doszło do przeprowadzenia Ad Fraudu nazwanego, przez specjalistów z firmy HUMAN, PEACHPIT musimy zrozumieć, jak działał sam schemat BADBOX. Podstawą stworzenia imperium BADBOX była firma z siedzibą w Chinach, która sprzedawała smartfony, tablety i urządzenia Connected TV (CTV) z systemem Android mniej znanych marek w popularnych sklepach internetowych i witrynach odsprzedaży za mniej niż 50 dolarów. Gdzieś pomiędzy linią produkcyjną a trafieniem do końcowego użytkownika dochodziło do potajemnego instalowania na tych fabrycznie nowych urządzeniach złośliwego oprogramowania o nazwie Triada, które cichutko czekało na pierwsze uruchomienie sprzętu. Schemat szkodliwego oprogramowania typu Triada został odkryty w 2016 r., kilka lat później cyberprzestępcy stojący za BADBOX zastosowali je, aby instalować na urządzeniach backdoor i móc zdalnie sprawować kontrolę nad sprzętem. Działa to w ten sposób, że kiedy urządzenie zostaje włączone Triada kontaktuje się z serwerem dowodzenia i kontroli i dodaje sprzęt do Botnetu zarządzanego przez cyberprzestępców tworząc coś na kształt bramy umożliwiającej transmisje danych. Od tej pory urządzenie znajduje się pod kontrolą twórców BADBOX i może zostać użyte do wielu fraudów w tym przede wszystkim:
- oszustw reklamowych (PEACHPIT),
- tworzenia fałszywych kont Gmail i WhatsApp,
- kradzieży wrażliwych danych,
- tworzenia domowych serwerów wyjściowych proxy,
- sprzedaży dostępów do sieci domowych i adresów IP,
- zdalnego instalowania złośliwego kodu.
Co ciekawe jest to w pełni elastyczne (i dlatego tak groźne) – jeśli oszuści wpadną na nowy pomysł wystarczy, że przekażą odpowiednie instrukcje Triadzie, a ta zainfekuje nimi urządzenie.
Pierwszy przypadek zakupu dekodera wyposażonego w BADBOX zgłoszono w styczniu 2023 roku - urządzenie (zwane procesorem AllWinner T616) korzystało z pamięci ROM z systemem Android 10. Sprawa badana była przez wiele miesięcy - szczegóły dotyczące tego przestępczego przedsięwzięcia zostały po raz pierwszy opisane przez firmę Trend Micro w maju, a raport firmy HUMAN ukazał się na początku października. Jak twierdzą badacze z Zespołu ds. Analizy i Badań nad Zagrożeniami Satori firmy HUMAN istnienie ponad 200 modeli sprzętów z fabrycznie zainstalowanym złośliwym oprogramowaniem BADBOX. Dla celów badawczych HUMAN zakupiło też kilka konkretnych urządzeń. Aż 80 procent z nich było zainfekowane!
Ad Fraud większy niż sam BADBOX!
Wśród ładowanych na urządzenia w ramach akcji BADBOX instrukcji znajdowały się również te dotyczące fraudu reklamowego nazwanego PEACHPIT. Skutkowały one pobieraniem fałszywych aplikacji podszywających się pod inne i wyświetlających reklamy w sposób niewidoczny dla użytkownika. Takie aplikacje, a było ich podobno ponad 39 (zarówno dla ekosystemów iOS, jak i Android), zostały też udostępnione zarówno w Apple AppStore jak w Google Play Store dzięki czemu ich oszukańcza działalność wykroczyła poza ramy projektu BADBOX. W sumie zostały one zainstalowane ponad 15 milionów razy w 227 terytoriach na całym świecie, a ofiarami były zarówno osoby prywatne jak też publiczne organizacje. Na urządzeniach wcielonych do botnetu PEACHPIT wyświetlano dziennie ponad cztery miliardy reklam generując dla cyberprzestępców gigantyczne zyski w ramach reklamy programmatic.
Ad Fraud był szczególnie trudny do wykrycia, ponieważ ruch wspierany był przez rzeczywiste konta wyglądające tak, jakby powstały w wyniku działania ludzi, prawdziwe były również zarówno sprzęty jak i adresy IP z których pochodziły rzekomo prawdziwe wyświetlenia. Dodatkowo złośliwe oprogramowanie znajduje się na partycji oprogramowania sprzętowego i bez odpowiedniej wiedzy niezwykle trudno jest je usunąć.
W oświadczeniu wydanym dla Tom’s Guide przez rzecznika Google można przeczytać, że:
„Urządzenia innej marki, u których stwierdzono infekcję BADBOX, nie były urządzeniami z Androidem posiadającymi certyfikat Play Protect. Jeśli urządzenie nie ma certyfikatu Play Protect, Google nie prowadzi rejestru wyników testów bezpieczeństwa i zgodności. Urządzenia z Androidem z certyfikatem Play Protect przechodzą szeroko zakrojone testy, aby zapewnić jakość i bezpieczeństwo użytkownika.”
Koniec PEACHPIT nie oznacza końca BADBOX!
Human Security zastosowało własne rozwiązanie MediaGuard i nawiązało współpracę z Apple i Google w ramach działań mających powstrzymać fraud reklamowy. Finalnie aplikacje umożliwiające działanie PEACHPIT zostały usunięte z popularnych sklepów z aplikacjami, nie oznacza to jednak końca BADBOX. Z braku odpowiedniego finansowania operatorzy stojący za tym fraudem wyłączyli swoje serwery dowodzenia i kontroli prawdopodobnie jednak tylko tymczasowo, aby opracować model obejścia środków ochronnych i dostosować się do nowej sytuacji. Należy pamiętać, że urządzeń zainfekowanych przez BADBOX nadal jest mnóstwo i gdy tylko fraudsterzy wpadną na nowy pomysł, będą one gotowe do użycia, a sprzęty z wbudowanym schematem BADBOX wciąż są powszechnie dostępne na rynku i każdy może je zamówić.
