Bigpanzi Botnet infiserer hundretusenvis av Android-enheter

Sikkerhetseksperter har tilskrevet et DDoS-botnett (Distributed Denial of Service), som potensielt kan påvirke millioner av smarte TV-er og set-top-bokser, til en etablert cyberkriminalitetsgruppe kjent som Bigpanzi, aktiv i åtte år.

Under toppen av kampanjen opererte minst 170 000 roboter daglig, og infiserte Android-baserte TV-er og strømmeenheter gjennom piratkopierte apper og fastvareoppdateringer. Det typiske infeksjonsscenarioet innebar at brukere besøkte tvilsomme strømmesider på smarttelefonene sine, og utilsiktet lastet ned ondsinnede apper til Android-smart-TV-ene sine.

Når de først ble infisert, ble enheter utnyttet for ulike nettkriminalitet, inkludert DDoS-angrep og overtakelse av andre strømmer, der en angriper erstattet innhold på forskjellige kanaler. En hendelse i desember 2023 i De forente arabiske emirater så regelmessige sendinger kapret for å vise bilder fra konflikten mellom Israel og Palestina.

Et kinesisk sikkerhetsselskap advarte om at potensialet for Bigpanzi-kontrollerte TV-er og set-top-bokser til å kringkaste voldelig, terroristisk eller eksplisitt innhold, eller bruke sofistikerte AI-genererte videoer for politisk propaganda, utgjør en betydelig trussel mot sosial orden og stabilitet.

Bigpanzi tar en side fra Mirai sin bok

Selv om de ikke beskrev botnettets DDoS-historie eller tilskrev den til høyprofilerte angrep, bemerket forskere at DDoS-kommandoene ble arvet fra den beryktede Mirai. Forskernes undersøkelse avslørte pandoraspear-malwaren, assosiert med Bigpanzi, med 11 Mirai-relaterte DDoS-angrepsvektorer i senere versjoner.

Bigpanzi, sammen med pandoraspear malware, har vært aktiv siden minst 2015. Arbeidet med å spore og bekjempe Bigpanzi pågår, med fokus på å forstyrre deres operasjoner. Gruppen rettet seg først og fremst mot Brasil, spesielt Sao Paulo, hvor et betydelig antall roboter ble identifisert under toppen av kampanjen.

Botnettets sanne skala ble tydelig da forskere tok kontroll over to utløpte domener som ble brukt til botnettets kommando- og kontrollinfrastruktur. Som svar tok cyberkriminelle tilbake ved å tvinge domenene offline.

Det er mistenkt at gruppen har flyttet DDoS-operasjonene sine til et annet botnett under deres kontroll, og bruker det til mer lukrative nettkriminalitet, for eksempel å fungere som et innholdsleveringsnettverk. Botnettets nåværende størrelse antas å overstige det sekssifrede antallet registrert på toppen i august, ettersom enheter av forbrukerkvalitet kanskje ikke er slått på konsekvent.