La botnet Bigpanzi infecta 170.000 cajas de TV Android con malware

Iniciado por AXCESS, Enero 19, 2024, 05:17:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 19, 2024, 05:17:22 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un sindicato de cibercrimen hasta ahora desconocido llamado 'Bigpanzi' ha estado ganando mucho dinero infectando decodificadores Android TV y eCos en todo el mundo desde al menos 2015.

Qianxin Xlabs, con sede en Beijing, informa que el grupo de amenazas controla una botnet a gran escala de aproximadamente 170.000 bots activos diarios. Sin embargo, los investigadores han visto 1,3 millones de direcciones IP únicas asociadas con la botnet desde agosto, la mayoría en Brasil.

Bigpanzi infecta los dispositivos a través de actualizaciones de firmware o aplicaciones con puerta trasera que engañan a los usuarios para que las instalen ellos mismos, como se destaca en un informe de septiembre de 2023 del Dr. Web.

Aplicaciones maliciosas que transportan cargas útiles de malware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ciberdelincuentes monetizan estas infecciones convirtiendo los dispositivos en nodos para plataformas ilegales de transmisión de medios, redes de tráfico proxy, enjambres de denegación de servicio distribuido (DDoS) y suministro de contenido OTT.

Diagrama de operaciones de Bigpanzi
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El malware personalizado de Bigpanzi

El informe de Xlabs se centra en 'pandoraspear' y 'pcdn', dos herramientas de malware utilizadas por Bigpanzi en sus operaciones.

Las dos cargas útiles de malware en la imagen del firmware malicioso
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pandoraspear actúa como un troyano de puerta trasera, secuestrando la configuración de DNS, estableciendo comunicación de comando y control (C2) y ejecutando comandos recibidos del servidor C2.

El malware admite una variedad de comandos que le permiten manipular la configuración de DNS, iniciar ataques DDoS, actualizarse, crear shells inversos, administrar su comunicación con el C2 y ejecutar comandos arbitrarios del sistema operativo.

Establecer un shell inverso en un dispositivo infectado
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pandoraspear utiliza técnicas sofisticadas como shell UPX modificado, enlaces dinámicos, compilación OLLVM y mecanismos antidepuración para evadir la detección.

Pcdn se utiliza para construir una red de distribución de contenido (CDN) peer-to-peer (P2P) en dispositivos infectados y posee capacidades DDoS para convertir los dispositivos en armas.


Conjunto de herramientas DDoS integrado de Pcdn
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Escala de operaciones

Xlabs obtuvo información sobre la escala de la botnet después de secuestrar dos dominios C2 utilizados por los atacantes y realizar una observación de siete días.

Los analistas informan que la botnet Bigpanzi tiene 170.000 bots diarios en las horas punta y ha observado más de 1,3 millones de IP distintas desde agosto.

Más de 1,3 millones de nodos detectados en Brasil
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, debido a que las TV Box comprometidas no están activas simultáneamente en todo momento y a las limitaciones de visibilidad de los analistas de ciberseguridad, se considera inevitable que el tamaño de la botnet sea mayor.

"Durante los últimos ocho años, Bigpanzi ha estado operando de forma encubierta, acumulando riquezas en silencio desde las sombras", se lee en el informe de Xlabs.

"Con el avance de sus operaciones, ha habido una proliferación significativa de muestras, nombres de dominio y direcciones IP".

"Ante una red tan grande e intrincada, nuestros hallazgos representan sólo la punta del iceberg en términos de lo que abarca Bigpanzi".

Los artefactos en la muestra pcdn analizada llevaron a los investigadores chinos a un canal sospechoso de YouTube controlado por una empresa.

Sin embargo, el informe de Xlabs aún no ha revelado ningún detalle de atribución, presumiblemente reservándolos para las autoridades policiales correspondientes.

Actualización 19/01: un portavoz de Google envió el siguiente comentario sobre lo anterior:

     Estos dispositivos infectados parecen ser dispositivos del Proyecto de código abierto de Android (AOSP), lo que significa que cualquiera puede descargar y modificar el código.

     Android TV es el sistema operativo de Google para televisores inteligentes y dispositivos de transmisión. Es propietario, lo que significa que sólo Google y sus socios autorizados pueden modificar el código.

     Si un dispositivo no tiene la certificación Play Protect, Google no tiene un registro de los resultados de las pruebas de seguridad y compatibilidad. Los dispositivos Android certificados por Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario