Um grupo de cibercriminosos desconhecido até então, chamado ‘Bigpanzi’, vem ganhando muito dinheiro ao infectar TV box Android em todo o mundo.
A Qianxin Xlabs, sediada em Pequim, relata que o grupo de ameaças controla uma botnet de grande escala de aproximadamente 170 mil bots ativos diariamente. No entanto, os pesquisadores viram 1,3 milhão de endereços IP únicos associados à botnet desde agosto, a maioria no Brasil.
Bigpanzi infecta os dispositivos por meio de atualizações de firmware ou aplicativos comprometidos que os usuários são enganados a instalar, como destacado em um relatório de setembro de 2023 da Dr. Web.
Os cibercriminosos monetizam essas infecções transformando os dispositivos em nós para plataformas ilegais de streaming de mídia, redes de proxy de tráfego, enxames de serviço de negação distribuída (DDoS) e provisão de conteúdo OTT.
O malware personalizado do Bigpanzi O relatório da Xlabs se concentra em ‘pandoraspear’ e ‘pcdn’, duas ferramentas de malware usadas pelo Bigpanzi em suas operações.
Pandoraspear age como um trojan de backdoor, sequestrando as configurações de DNS, estabelecendo comunicação de comando e controle (C2) e executando comandos recebidos do servidor C2.
O malware suporta uma variedade de comandos que permitem manipular as configurações de DNS, iniciar ataques DDoS, atualizar-se, criar shells reversos, gerenciar sua comunicação com o C2 e executar comandos arbitrários do sistema operacional.
Pandoraspear usa técnicas sofisticadas como shell UPX modificado, ligação dinâmica, compilação OLLVM e mecanismos anti-depuração para evitar detecção.
Pcdn é usado para construir uma rede de distribuição de conteúdo (CDN) peer-to-peer (P2P) em dispositivos infectados e possui capacidades DDoS para armar dispositivos.
Escala das operações A Xlabs obteve uma visão da escala da botnet após sequestrar dois domínios C2 usados pelos invasores e realizar uma observação de sete dias.
Os analistas relatam que a botnet Bigpanzi tem 170 mil bots diários nos horários de pico e observou mais de 1,3 milhão de IPs distintos desde agosto.
No entanto, devido às caixas de TV comprometidas não estarem ativas simultaneamente o tempo todo e às limitações de visibilidade dos analistas de segurança cibernética, é considerado inevitável que o tamanho da botnet seja maior.
“Ao longo dos últimos oito anos, o Bigpanzi vem operando de forma encoberta, acumulando silenciosamente riqueza nas sombras”, diz o relatório da Xlabs.
“Com o avanço de suas operações, houve uma proliferação significativa de amostras, nomes de domínio e endereços IP.”
“Diante de uma rede tão grande e complexa, nossas descobertas representam apenas a ponta do iceberg em termos do que o Bigpanzi abrange.”
Artefatos na amostra pcdn analisada levaram os pesquisadores chineses a um canal suspeito do YouTube controlado por uma empresa.
No entanto, o relatório da Xlabs não divulgou nenhum detalhe de atribuição ainda, presumivelmente reservando-os para as autoridades policiais competentes.