Des cybercriminels ont élaboré une opération de grande ampleur en vendant plus de 200 appareils pré-infectés par un malware. Ils ont par ailleurs lancé un vaste réseau de fraude à la publicité, générant des milliards de requêtes quotidiennes, grâce à de fausses applications sur le Play Store et l’App Store. Une affaire détaillée par les experts de Human.
L’entreprise de cybersécurité Human vient de publier un rapport détaillé sur une opération de grande ampleur nommée BadBox qui vend des appareils pré-infectés par un malware, ainsi que PeachPit, son réseau de fraude à la publicité qui génère des revenus en créant de fausses vues ou clics sur les publicités mobiles.
L’opération BadBox vend des mobiles et TV connectées sans marque, fabriqués en Chine et infectés avec Triada, un malware Android dont la première version a été découverte en 2016. Les opérateurs de BadBox peuvent ensuite s’en servir pour télécharger d’autres malwares. Human a détecté plus de 200 types d’appareils Android infectés par BadBox. Malgré l’importance de l’opération, elle ne concerne que des appareils sans marque d’origine chinoise. Toutefois, les cybercriminels s’en sont également pris à d’autres appareils pour créer un botnet nommé PeachPit.
Plus de 4 milliards de requêtes publicitaires par jour
Les opérateurs de BadBox ont diffusé au total 39 fausses applications pour mobiles et TV connectées, publiées sur le Play Store de Google et l’App Store d’Apple. À son apogée, le réseau comptait 121 000 appareils Android et 159 000 appareils iOS, répartis dans 227 pays.
Les applications auraient été installées plus de 15 millions de fois au total et ont permis aux cybercriminels de voler des données personnelles, de servir de proxy pour d’autres appareils (qui accèdent à Internet à travers l’appareil infecté, contournant des blocages ou pour cacher l’origine d’activités criminelles), et de procéder à la fraude à la publicité. Ainsi, le réseau PeachPit générait en moyenne 4 milliards de requêtes publicitaires par jour.
Human indique avoir travaillé avec Apple et Google pour mettre fin à PeachPit, et les cybercriminels ont également retiré le malware des appareils BadBox. Toutefois, en ce qui concerne les appareils BadBox vendus pré-infectés, le malware Triada se situe sur une partition en lecture seule. Il est donc impossible pour l’utilisateur moyen de l’éliminer. Human conseille donc d’éviter d’acheter des appareils qui n’ont pas la certification Play Protect de Google.
futura