La botnet Bigpanzi infetta centinaia di migliaia di dispositivi Android
Gli esperti di sicurezza hanno attribuito una botnet Distributed Denial of Service (DDoS), che potenzialmente colpisce milioni di smart TV e set-top box, a un affermato gruppo di criminalità informatica noto come Bigpanzi, attivo da otto anni.
Durante il picco della campagna, almeno 170.000 bot operavano ogni giorno, infettando televisori basati su Android e dispositivi di streaming tramite app pirata e aggiornamenti firmware. Lo scenario tipico dell'infezione prevedeva che gli utenti visitassero siti di streaming dubbi sui propri smartphone, scaricando inavvertitamente app dannose sulle loro smart TV Android.
Una volta infettati, i dispositivi venivano sfruttati per commettere diversi crimini informatici, tra cui attacchi DDoS e il controllo di altri flussi, in cui un utente malintenzionato sostituiva contenuti su diversi canali. Un incidente nel dicembre 2023 negli Emirati Arabi Uniti ha visto le trasmissioni regolari dirottate per mostrare immagini del conflitto tra Israele e Palestina.
Una società di sicurezza cinese ha avvertito che la possibilità che i televisori e i set-top box controllati da Bigpanzi trasmettano contenuti violenti, terroristici o espliciti, o utilizzino video sofisticati generati dall’intelligenza artificiale per la propaganda politica, rappresenta una minaccia sostanziale per l’ordine sociale e la stabilità.
Bigpanzi prende una pagina dal libro di Mirai
Pur senza fornire dettagli sulla storia DDoS della botnet né attribuirla ad attacchi di alto profilo, i ricercatori hanno notato che i suoi comandi DDoS sono stati ereditati dal famigerato Mirai. L'indagine dei ricercatori ha rivelato il malware pandoraspear, associato a Bigpanzi, che incorpora 11 vettori di attacco DDoS legati a Mirai nelle versioni successive.
Bigpanzi, insieme al malware pandoraspear, è attivo almeno dal 2015. Sono in corso sforzi per rintracciare e combattere Bigpanzi, con l’obiettivo di interrompere le loro operazioni. Il gruppo ha preso di mira principalmente il Brasile, in particolare San Paolo, dove è stato identificato un numero significativo di bot durante il picco della campagna.
La vera portata della botnet è diventata evidente quando i ricercatori hanno preso il controllo di due domini scaduti utilizzati per l'infrastruttura di comando e controllo della botnet. In risposta, i criminali informatici hanno reagito forzando i domini offline.
Si sospetta che il gruppo abbia spostato le sue operazioni DDoS su un'altra botnet sotto il suo controllo, utilizzandola per crimini informatici più redditizi, come il funzionamento come rete di distribuzione di contenuti. Si ritiene che le dimensioni attuali della botnet superino il numero di sei cifre registrato al suo picco in agosto, poiché i dispositivi di livello consumer potrebbero non essere costantemente accesi.
