Μια hacking ομάδα με το όνομα «Bigpanzi» έχει δημιουργήσει ένα botnet και μολύνει Android TV και eCos set-top boxes σε όλο τον κόσμο, τα τελευταία εννιά χρόνια περίπου.
Σύμφωνα με την κινεζική Qianxin Xlabs, οι hackers ελέγχουν ένα botnet μεγάλης κλίμακας, με περίπου 170.000 ενεργά bots καθημερινά. Ωστόσο, οι ερευνητές έχουν δει 1,3 εκατομμύρια μοναδικές διευθύνσεις IP που σχετίζονται με το εν λόγω botnet, από τον Αύγουστο.
Το botnet της ομάδας Bigpanzi μολύνει τις συσκευές μέσω ενημερώσεων firmware ή backdoored apps που εγκαθιστούν οι ίδιοι οι χρήστες στις συσκευές τους, χωρίς να ξέρουν ότι είναι κακόβουλα.
Οι hackers δημιουργούν έσοδα από αυτές τις μολύνσεις μετατρέποντας τις συσκευές σε κόμβους για παράνομες πλατφόρμες streaming, traffic proxying networks, distributed denial of service (DDoS) swarms και παροχή περιεχομένου OTT.
Δείτε επίσης: Το AndroxGh0st malware botnet κλέβει AWS, Azure, Office 365 credentials
Bigpanzi hackers
Οι ερευνητές της Xlabs εστιάζουν σε δύο custom malware της ομάδας, το «pandoraspear» και το «pcdn».
Το Pandoraspear λειτουργεί ως backdoor trojan. Υποστηρίζει μια ποικιλία εντολών που του επιτρέπουν να χειρίζεται τις ρυθμίσεις DNS, να πραγματοποιεί επιθέσεις DDoS, να ενημερώνεται, να δημιουργεί reverse shells, να διαχειρίζεται την επικοινωνία του με το C2 και να εκτελεί εντολές του λειτουργικού συστήματος. Επίσης, σύμφωνα με τους ερευνητές, χρησιμοποιεί διάφορες μεθόδους για να αποφύγει τον εντοπισμό.
Από την άλλη μεριά, το PCdn malware χρησιμοποιείται για τη δημιουργία ενός δικτύου διανομής περιεχομένου peer-to-peer (P2P) σε μολυσμένες συσκευές. Διαθέτει δυνατότητες DDoS για να μολύνει συσκευές.
Η Xlabs απέκτησε μια εικόνα για τη λειτουργία και την έκταση του botnet Bigpanzi, αφού παραβίασε δύο C2 domains που χρησιμοποιούσαν οι επιτιθέμενοι.
Δείτε επίσης: Αυξημένη δραστηριότητα botnet τον τελευταίο μήνα
Οι αναλυτές παρατήρησαν ότι το botnet Bigpanzi έχει 170.000 καθημερινά bot σε ώρες αιχμής.
Ωστόσο, λόγω των παραβιασμένων Android TV boxes που δεν είναι ταυτόχρονα ενεργά ανά πάσα στιγμή, καθώς και λόγω των περιορισμών ορατότητας των αναλυτών, μπορούμε να υποθέσουμε ότι το μέγεθος του botnet είναι μεγαλύτερο.
«Τα τελευταία οκτώ χρόνια, η Bigpanzi λειτουργεί κρυφά, συγκεντρώνοντας σιωπηλά πλούτο», αναφέρει η έκθεση της Xlabs. «Μπροστά σε ένα τόσο μεγάλο και περίπλοκο δίκτυο, τα ευρήματά μας αντιπροσωπεύουν μόνο την κορυφή του παγόβουνου όσον αφορά το τι περιλαμβάνει το Bigpanzi».
Για να προστατευτεί ένα Android TV box από τις επιθέσεις botnet, είναι σημαντικό να διατηρείται η συσκευή ενημερωμένη. Οι ενημερώσεις λογισμικού περιλαμβάνουν συχνά διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή από τις πιο πρόσφατες απειλές.
Δείτε επίσης: NoaBot: Το νέο botnet στοχεύει SSH Servers για crypto mining
Είναι, επίσης, σημαντικό να προσέχετε τις εφαρμογές που εγκαθιστάτε στο Android TV box. Προτιμήστε εφαρμογές από αξιόπιστες πηγές και αποφύγετε την εγκατάσταση εφαρμογών από άγνωστες πηγές.
Πηγή: www.bleepingcomputer.com
