Bigpanzi Botnet infecta centenas de milhares de dispositivos Android

Especialistas em segurança atribuíram uma botnet de negação de serviço distribuída (DDoS), que potencialmente afeta milhões de smart TVs e decodificadores, a um grupo de crime cibernético estabelecido conhecido como Bigpanzi, ativo há oito anos.

Durante o pico da campanha, pelo menos 170 mil bots operaram diariamente, infectando TVs e dispositivos de streaming baseados em Android por meio de aplicativos piratas e atualizações de firmware. O cenário típico de infecção envolvia usuários visitando sites de streaming duvidosos em seus smartphones, baixando inadvertidamente aplicativos maliciosos em suas smart TVs Android.

Uma vez infectados, os dispositivos eram explorados para vários crimes cibernéticos, incluindo ataques DDoS e o controle de outros fluxos, onde um invasor substituía conteúdo em canais diferentes. Um incidente ocorrido em dezembro de 2023 nos Emirados Árabes Unidos viu transmissões regulares serem sequestradas para exibir imagens do conflito entre Israel e a Palestina.

Uma empresa de segurança chinesa alertou que o potencial dos televisores e descodificadores controlados por Bigpanzi transmitirem conteúdos violentos, terroristas ou explícitos, ou utilizarem vídeos sofisticados gerados por IA para propaganda política, representa uma ameaça substancial à ordem e estabilidade social.

Bigpanzi tira uma página do livro de Mirai

Embora não detalhem o histórico de DDoS da botnet ou atribuam-no a ataques de alto perfil, os pesquisadores observaram que seus comandos DDoS foram herdados do infame Mirai. A investigação dos pesquisadores expôs o malware pandoraspear, associado ao Bigpanzi, incorporando 11 vetores de ataque DDoS relacionados ao Mirai em versões posteriores.

O Bigpanzi, juntamente com o malware pandoraspear, está ativo pelo menos desde 2015. Esforços para rastrear e combater o Bigpanzi estão em andamento, com foco na interrupção de suas operações. O grupo tinha como alvo principal o Brasil, especialmente São Paulo, onde um número significativo de bots foi identificado durante o pico da campanha.

A verdadeira escala da botnet tornou-se aparente quando os pesquisadores assumiram o controle de dois domínios expirados usados para a infraestrutura de comando e controle da botnet. Em resposta, os cibercriminosos retaliaram forçando os domínios a ficarem offline.

Suspeita-se que o grupo tenha transferido as suas operações DDoS para outra botnet sob o seu controlo, utilizando-a para crimes cibernéticos mais lucrativos, como funcionar como uma rede de distribuição de conteúdos. Acredita-se que o tamanho atual da botnet exceda a contagem de seis dígitos registrada em seu pico em agosto, já que os dispositivos de consumo podem não estar ligados de forma consistente.