Bigpanzi Botnet inficerer hundredtusindvis af Android-enheder

Sikkerhedseksperter har tilskrevet et DDoS-botnet (Distributed Denial of Service), der potentielt påvirker millioner af smart-tv'er og set-top-bokse, til en etableret cyberkriminalitetsgruppe kendt som Bigpanzi, som har været aktiv i otte år.

Under toppen af kampagnen opererede mindst 170.000 bots dagligt og inficerede Android-baserede tv'er og streamingenheder gennem piratkopierede apps og firmwareopdateringer. Det typiske infektionsscenarie involverede brugere, der besøgte tvivlsomme streamingsider på deres smartphones, og utilsigtet downloadede ondsindede apps til deres Android smart-tv.

Når de først var inficeret, blev enheder udnyttet til forskellige cyberkriminaliteter, herunder DDoS-angreb og overtagelse af andre streams, hvor en angriber erstattede indhold på forskellige kanaler. Ved en hændelse i december 2023 i De Forenede Arabiske Emirater blev regelmæssige udsendelser kapret for at vise billeder fra konflikten mellem Israel og Palæstina.

Et kinesisk sikkerhedsfirma advarede om, at potentialet for Bigpanzi-kontrollerede tv'er og set-top-bokse til at udsende voldeligt, terroristisk eller eksplicit indhold eller bruge sofistikerede AI-genererede videoer til politisk propaganda, udgør en væsentlig trussel mod social orden og stabilitet.

Bigpanzi tager en side fra Mirai's bog

Uden at beskrive botnettets DDoS-historie eller tilskrive det højprofilerede angreb, bemærkede forskere, at dets DDoS-kommandoer blev arvet fra den berygtede Mirai. Forskernes undersøgelse afslørede pandoraspear-malwaren, der er forbundet med Bigpanzi, som inkorporerer 11 Mirai-relaterede DDoS-angrebsvektorer i senere versioner.

Bigpanzi har sammen med pandoraspear-malwaren været aktiv siden mindst 2015. Bestræbelser på at spore og bekæmpe Bigpanzi er i gang med fokus på at forstyrre deres operationer. Gruppen var primært målrettet mod Brasilien, især Sao Paulo, hvor et betydeligt antal bots blev identificeret under kampagnens højdepunkt.

Botnettets sande omfang blev tydeligt, da forskere tog kontrol over to udløbne domæner, der blev brugt til botnettets kommando- og kontrolinfrastruktur. Som svar gjorde de cyberkriminelle gengældelse ved at tvinge domænerne offline.

Det er mistanke om, at gruppen har flyttet sine DDoS-operationer til et andet botnet under deres kontrol, ved at bruge det til mere lukrative cyberkriminalitet, såsom at fungere som et indholdsleveringsnetværk. Botnettets nuværende størrelse menes at overstige det sekscifrede antal, der blev registreret på sit højeste i august, da enheder af forbrugerkvalitet muligvis ikke er konstant tændt.