Bigpanzi Botnet infekterar hundratusentals Android-enheter
Säkerhetsexperter har tillskrivit ett DDoS-botnät (Distributed Denial of Service), som potentiellt påverkar miljontals smarta TV-apparater och set-top-boxar, till en etablerad cyberbrottsgrupp känd som Bigpanzi, verksam i åtta år.
Under toppen av kampanjen opererade minst 170 000 bots dagligen och infekterade Android-baserade TV-apparater och streamingenheter genom piratkopierade appar och firmwareuppdateringar. Det typiska infektionsscenariot innebar att användare besökte tvivelaktiga streamingsidor på sina smartphones och oavsiktligt laddade ner skadliga appar till sina Android-smarta TV-apparater.
När de väl var infekterade utnyttjades enheter för olika cyberbrott, inklusive DDoS-attacker och övertagande av andra strömmar, där en angripare ersatte innehåll på olika kanaler. En incident i december 2023 i Förenade Arabemiraten såg att regelbundna sändningar kapades för att visa bilder från konflikten mellan Israel och Palestina.
Ett kinesiskt säkerhetsföretag varnade för att potentialen för Bigpanzi-kontrollerade TV-apparater och set-top-boxar att sända våldsamt, terroristiskt eller explicit innehåll, eller använda sofistikerade AI-genererade videor för politisk propaganda, utgör ett betydande hot mot social ordning och stabilitet.
Bigpanzi tar en sida från Mirais bok
Även om de inte beskriver botnätets DDoS-historia eller tillskriver det högprofilerade attacker, noterade forskare att dess DDoS-kommandon ärvdes från den ökända Mirai. Forskarnas undersökning avslöjade pandoraspear malware, associerad med Bigpanzi, som innehåller 11 Mirai-relaterade DDoS-attackvektorer i senare versioner.
Bigpanzi, tillsammans med pandoraspear malware, har varit aktiva sedan åtminstone 2015. Ansträngningar för att spåra och bekämpa Bigpanzi pågår, med fokus på att störa deras verksamhet. Gruppen riktade sig främst mot Brasilien, särskilt Sao Paulo, där ett betydande antal bots identifierades under kampanjens topp.
Botnätets verkliga skala blev uppenbar när forskare tog kontroll över två utgångna domäner som används för botnätets kommando- och kontrollinfrastruktur. Som svar hämnades cyberbrottslingarna genom att tvinga domänerna offline.
Det misstänks att gruppen har flyttat sin DDoS-verksamhet till ett annat botnät under deras kontroll och använt det för mer lukrativa cyberbrott, som att fungera som ett innehållsleveransnätverk. Botnätets nuvarande storlek tros överstiga det sexsiffriga antalet som registrerades vid sin topp i augusti, eftersom konsumentklassade enheter kanske inte är påslagen konsekvent.