A Bigpanzi botnet több százezer Android-eszközt fertőz meg

Biztonsági szakértők egy nyolc éve működő, Bigpanzi néven ismert kiberbűnözési csoportnak tulajdonították az elosztott szolgáltatásmegtagadási (DDoS) botnetet, amely okostévék és set-top boxok millióit érintheti.

A kampány csúcspontjában naponta legalább 170 000 bot működött, amelyek kalóz alkalmazások és firmware-frissítések révén fertőzték meg az Android-alapú tévéket és streaming eszközöket. A tipikus fertőzési forgatókönyv szerint a felhasználók kétes streaming oldalakat kerestek fel okostelefonjaikkal, és véletlenül rosszindulatú alkalmazásokat töltöttek le Android okostévékre.

A megfertőződést követően az eszközöket különféle kiberbűnözésre használták ki, beleértve a DDoS-támadásokat és más adatfolyamok átvételét, ahol a támadó különböző csatornákon tartalmat cserélt le. Egy 2023 decemberében az Egyesült Arab Emírségekben történt incidens során rendszeres adásokat térítettek el, hogy az Izrael és Palesztina közötti konfliktus képeit jelenítsék meg.

Egy kínai biztonsági cég arra figyelmeztetett, hogy a Bigpanzi által vezérelt tévék és set-top boxok erőszakos, terrorista vagy nyíltan sugárzó tartalmak sugárzására, illetve kifinomult mesterséges intelligencia által generált videók politikai propagandára való felhasználására komoly veszélyt jelentenek a társadalmi rendre és stabilitásra.

Bigpanzi kivesz egy oldalt Mirai könyvéből

Bár nem részletezik a botnet DDoS történetét, és nem tulajdonítják nagy horderejű támadásoknak, a kutatók megjegyezték, hogy a DDoS parancsait a hírhedt Miraitól örökölték. A kutatók vizsgálata felfedte a Bigpanzihoz kapcsolódó pandoraspear kártevőt, amely 11 Miraihoz kapcsolódó DDoS támadási vektort tartalmazott a későbbi verziókban.

A Bigpanzi és a pandoraspear rosszindulatú program legalább 2015 óta aktív. A Bigpanzi felkutatására és leküzdésére irányuló erőfeszítések folyamatban vannak, és a tevékenységük megzavarására összpontosítanak. A csoport elsősorban Brazíliát célozta meg, különösen Sao Paulót, ahol a kampány csúcspontjában jelentős számú botot azonosítottak.

A botnet valódi mérete akkor vált nyilvánvalóvá, amikor a kutatók átvették az irányítást két lejárt tartomány felett, amelyeket a botnet parancsnoki és vezérlési infrastruktúrájához használtak. Válaszul a kiberbűnözők megtorolták a domaineket offline állapotba kényszerítve.

A gyanú szerint a csoport a DDoS-műveleteit egy másik, az irányítása alatt álló botnetre helyezte át, és azt a jövedelmezőbb kiberbűnözésre használja fel, például tartalomszolgáltató hálózatként. A botnet jelenlegi mérete vélhetően meghaladja az augusztusi csúcson mért hatjegyű számot, mivel előfordulhat, hogy a fogyasztói eszközök nem lesznek folyamatosan bekapcsolva.