Bigpanzi Botnet infecta cientos de miles de dispositivos Android

Los expertos en seguridad han atribuido una botnet de denegación de servicio distribuido (DDoS), que podría afectar a millones de televisores inteligentes y decodificadores, a un grupo de cibercrimen establecido conocido como Bigpanzi, activo desde hace ocho años.

Durante el pico de la campaña, al menos 170.000 bots operaron diariamente, infectando televisores y dispositivos de transmisión con Android a través de aplicaciones pirateadas y actualizaciones de firmware. El escenario de infección típico involucraba a usuarios que visitaban sitios de transmisión dudosos en sus teléfonos inteligentes y descargaban sin darse cuenta aplicaciones maliciosas en sus televisores inteligentes con Android.

Una vez infectados, los dispositivos eran explotados para diversos delitos cibernéticos, incluidos ataques DDoS y la apropiación de otras transmisiones, en las que un atacante reemplazaba contenido en diferentes canales. En un incidente ocurrido en diciembre de 2023 en los Emiratos Árabes Unidos se secuestraron transmisiones regulares para mostrar imágenes del conflicto entre Israel y Palestina.

Una empresa de seguridad china advirtió que la posibilidad de que los televisores y decodificadores controlados por Bigpanzi transmitan contenido violento, terrorista o explícito, o utilicen videos sofisticados generados por inteligencia artificial para propaganda política, representa una amenaza sustancial al orden y la estabilidad social.

Bigpanzi toma una página del libro de Mirai

Si bien no detallaron el historial DDoS de la botnet ni lo atribuyeron a ataques de alto perfil, los investigadores notaron que sus comandos DDoS fueron heredados del infame Mirai. La investigación de los investigadores expuso el malware pandoraspear, asociado con Bigpanzi, que incorpora 11 vectores de ataque DDoS relacionados con Mirai en versiones posteriores.

Bigpanzi, junto con el malware pandoraspear, ha estado activo desde al menos 2015. Se están realizando esfuerzos para rastrear y combatir a Bigpanzi, con un enfoque en interrumpir sus operaciones. El grupo se centró principalmente en Brasil, especialmente en Sao Paulo, donde se identificó un número significativo de bots durante el pico de la campaña.

La verdadera escala de la botnet se hizo evidente cuando los investigadores tomaron el control de dos dominios caducados utilizados para la infraestructura de comando y control de la botnet. En respuesta, los ciberdelincuentes tomaron represalias obligando a los dominios a desconectarse.

Se sospecha que el grupo ha trasladado sus operaciones DDoS a otra botnet bajo su control, usándola para delitos cibernéticos más lucrativos, como funcionar como red de distribución de contenidos. Se cree que el tamaño actual de la botnet supera el recuento de seis cifras registrado en su punto máximo en agosto, ya que es posible que los dispositivos de consumo no se enciendan constantemente.