Bigpanzi-Botnet infiziert Hunderttausende Android-Geräte

Sicherheitsexperten haben ein Distributed Denial of Service (DDoS)-Botnetz, das möglicherweise Millionen von Smart-TVs und Set-Top-Boxen befällt, einer etablierten Cyberkriminalitätsgruppe namens Bigpanzi zugeschrieben, die seit acht Jahren aktiv ist.

Auf dem Höhepunkt der Kampagne waren täglich mindestens 170.000 Bots im Einsatz und infizierten Android-basierte Fernseher und Streaming-Geräte über raubkopierte Apps und Firmware-Updates. Das typische Infektionsszenario bestand darin, dass Benutzer auf ihren Smartphones dubiose Streaming-Seiten besuchten und dabei versehentlich schädliche Apps auf ihre Android-Smart-TVs herunterluden.

Einmal infiziert, wurden Geräte für verschiedene Cyberkriminalität missbraucht, darunter DDoS-Angriffe und die Übernahme anderer Streams, bei denen ein Angreifer Inhalte auf verschiedenen Kanälen austauschte. Bei einem Vorfall im Dezember 2023 in den Vereinigten Arabischen Emiraten wurden reguläre Sendungen gekapert, um Bilder aus dem Konflikt zwischen Israel und Palästina zu zeigen.

Ein chinesisches Sicherheitsunternehmen warnte davor, dass die Möglichkeit, dass von Bigpanzi kontrollierte Fernseher und Set-Top-Boxen gewalttätige, terroristische oder explizite Inhalte ausstrahlen oder hochentwickelte KI-generierte Videos für politische Propaganda verwenden, eine erhebliche Bedrohung für die soziale Ordnung und Stabilität darstellt.

Bigpanzi übernimmt eine Seite aus Mirais Buch

Die Forscher gingen zwar nicht näher auf die DDoS-Historie des Botnetzes ein oder führten sie auf hochkarätige Angriffe zurück, stellten jedoch fest, dass die DDoS-Befehle vom berüchtigten Mirai übernommen wurden. Die Untersuchung der Forscher deckte die mit Bigpanzi in Verbindung stehende Pandoraspear-Malware auf, die in späteren Versionen 11 Mirai-bezogene DDoS-Angriffsvektoren enthielt.

Bigpanzi ist zusammen mit der Pandoraspear-Malware seit mindestens 2015 aktiv. Die Bemühungen, Bigpanzi aufzuspüren und zu bekämpfen, dauern an, wobei der Schwerpunkt auf der Störung ihres Betriebs liegt. Die Gruppe hatte es vor allem auf Brasilien abgesehen, insbesondere auf Sao Paulo, wo auf dem Höhepunkt der Kampagne eine beträchtliche Anzahl von Bots identifiziert wurde.

Das wahre Ausmaß des Botnetzes wurde deutlich, als Forscher die Kontrolle über zwei abgelaufene Domänen übernahmen, die für die Befehls- und Kontrollinfrastruktur des Botnetzes verwendet wurden. Als Reaktion darauf reagierten die Cyberkriminellen, indem sie die Domänen offline schalteten.

Es wird vermutet, dass die Gruppe ihre DDoS-Operationen auf ein anderes Botnetz unter ihrer Kontrolle verlagert hat und es für lukrativere Cyberkriminalität nutzt, beispielsweise als Content-Delivery-Netzwerk. Man geht davon aus, dass die aktuelle Größe des Botnetzes die sechsstellige Zahl übersteigt, die auf seinem Höhepunkt im August verzeichnet wurde, da Verbrauchergeräte möglicherweise nicht ständig eingeschaltet sind.