Cyberthreat.id - Botnet penipuan iklan yang dijuluki PEACHPIT memanfaatkan ratusan ribu perangkat Android dan iOS untuk menghasilkan keuntungan ilegal bagi pelaku ancaman di balik skema tersebut. Demikian laporan The Hacker News.

Botnet ini merupakan bagian dari operasi besar yang berbasis di China dengan nama sandi BADBOX, yang juga mencakup penjualan perangkat seluler dan TV yang terhubung (CTV) di luar merek di pengecer online populer dan situs retailers yang memiliki jenis malware Android yang disebut Triada.

“Konglomerat aplikasi terkait botnet PEACHPIT ditemukan di 227 negara dan wilayah, dengan perkiraan puncaknya mencapai 121.000 perangkat per hari di Android dan 159.000 perangkat per hari di iOS,” kata HUMAN kepada The Hacker News.

Infeksi tersebut dikatakan telah terjadi melalui kumpulan 39 aplikasi yang diinstal lebih dari 15 juta kali. Perangkat yang dilengkapi dengan malware BADBOX memungkinkan operator mencuri data sensitif, membuat proxy keluar dari perumahan, dan melakukan penipuan iklan melalui aplikasi palsu.

Saat ini tidak jelas bagaimana perangkat Android disusupi dengan backdoor firmware, namun bukti menunjukkan adanya serangan rantai pasokan perangkat keras dari pabrikan China.

“Pelaku ancaman juga dapat menggunakan perangkat backdoor untuk membuat akun pesan WhatsApp dengan mencuri kata sandi satu kali dari perangkat tersebut,” kata perusahaan itu.

“Selain itu, pelaku ancaman dapat menggunakan perangkat tersebut untuk membuat akun Gmail, menghindari deteksi bot biasa karena akun tersebut terlihat seperti dibuat dari tablet atau ponsel pintar biasa, oleh orang sungguhan.”

Rincian tentang perusahaan kriminal ini pertama kali didokumentasikan oleh Trend Micro pada Mei 2023, dan menghubungkannya dengan musuh yang dilacaknya sebagai Lemon Group.

HUMAN mengidentifikasi setidaknya 200 jenis perangkat Android yang berbeda, termasuk ponsel, tablet, dan produk CTV, yang telah menunjukkan tanda-tanda infeksi BADBOX, yang menunjukkan adanya operasi yang meluas.

Aspek penting dari penipuan iklan adalah penggunaan aplikasi palsu di Android dan iOS yang tersedia di pasar aplikasi utama seperti Apple App Store dan Google Play Store serta aplikasi yang diunduh secara otomatis ke perangkat BADBOX yang memiliki backdoor.

Hadir dalam aplikasi Android adalah modul yang bertanggung jawab untuk membuat WebView tersembunyi yang kemudian digunakan untuk meminta, merender, dan mengklik iklan, dan menyamarkan permintaan iklan sebagai berasal dari aplikasi yang sah, sebuah teknik yang sebelumnya diamati dalam kasus VASTFLUX.

Perusahaan pencegahan penipuan mencatat bahwa mereka bekerja sama dengan Apple dan Google untuk mengganggu operasi tersebut, menambahkan "Sisa BADBOX harus dianggap tidak aktif: server C2 yang menggerakkan infeksi backdoor firmware BADBOX telah dihapus oleh pelaku ancaman."

Terlebih lagi, pembaruan yang diluncurkan awal tahun ini ternyata menghapus modul yang mendukung PEACHPIT pada perangkat yang terinfeksi BADBOX sebagai respons terhadap langkah-langkah mitigasi yang diterapkan pada November 2022.

Meski begitu, diduga para penyerang sedang menyesuaikan taktik mereka untuk menghindari pertahanan.

Malware pra-instal pada perangkat Android telah menjadi fenomena yang berulang setidaknya sejak tahun 2016, terutama menyebar melalui ponsel pintar dan tablet berbiaya rendah, menurut beberapa laporan dari vendor keamanan siber Doctor Web dan Check Point.

“Yang membuat keadaan menjadi lebih buruk adalah tingkat kebingungan yang dialami para operator hingga tidak terdeteksi, sebuah tanda meningkatnya kecanggihan mereka,” kata HUMAN.

“Siapa pun dapat secara tidak sengaja membeli perangkat BADBOX secara online tanpa mengetahui bahwa perangkat tersebut palsu, mencolokkannya, dan tanpa sadar membuka malware pintu belakang ini.”[]