Ботнет Bigpanzi заражает сотни тысяч Android-устройств

Эксперты по безопасности приписали ботнет распределенного отказа в обслуживании (DDoS), потенциально затрагивающий миллионы смарт-телевизоров и приставок, авторитетной группе киберпреступников, известной как Bigpanzi, действующей уже восемь лет.

В разгар кампании ежедневно действовало не менее 170 000 ботов, заражавших телевизоры на базе Android и потоковые устройства через пиратские приложения и обновления прошивки. Типичный сценарий заражения заключался в том, что пользователи посещали сомнительные потоковые сайты на своих смартфонах и случайно загружали вредоносные приложения на свои смарт-телевизоры Android.

После заражения устройства использовались для различных киберпреступлений, включая DDoS-атаки и перехват других потоков, когда злоумышленник подменял контент на разных каналах. В результате инцидента, произошедшего в декабре 2023 года в Объединенных Арабских Эмиратах, регулярные трансляции были перехвачены для демонстрации изображений конфликта между Израилем и Палестиной.

Китайская охранная компания предупредила, что возможность трансляции насильственного, террористического или откровенного контента с помощью телевизоров и приставок, контролируемых Bigpanzi, или использования сложных видеороликов, созданных искусственным интеллектом, для политической пропаганды представляет собой существенную угрозу общественному порядку и стабильности.

Bigpanzi берет страницу из книги Мирай

Не вдаваясь в подробности истории DDoS-атак ботнета и не связывая ее с громкими атаками, исследователи отметили, что его DDoS-команды были унаследованы от печально известного Mirai. Расследование исследователей выявило вредоносное ПО pandoraspear, связанное с Bigpanzi, которое в более поздних версиях включало 11 векторов DDoS-атак, связанных с Mirai.

Bigpanzi, как и вредоносная программа pandoraspear, активна как минимум с 2015 года. Усилия по отслеживанию Bigpanzi и борьбе с ними продолжаются, уделяя особое внимание срыву их деятельности. Группа в первую очередь ориентировалась на Бразилию, особенно на Сан-Паулу, где в разгар кампании было обнаружено значительное количество ботов.

Истинный масштаб ботнета стал очевиден, когда исследователи взяли под контроль два домена с истекшим сроком действия, используемые для инфраструктуры управления и контроля ботнета. В ответ киберпреступники приняли ответные меры, отключив домены.

Предполагается, что группировка перенесла свои DDoS-операции на другой ботнет, находящийся под их контролем, используя его для более прибыльных киберпреступлений, таких как функционирование сети доставки контента. Предполагается, что нынешний размер ботнета превышает шестизначное число, зафиксированное на пике в августе, поскольку устройства потребительского уровня могут не включаться постоянно.