Подпольный синдикат киберпреступников, известный как Bigpanzi, с 2015 года получает незаконные доходы, заражая по всему миру сет-топ-боксы, работающие под управлением систем Android TV и eCos.
Как стало известно исследователям из пекинской лаборатории Qianxin Xlabs, синдикат Bigpanzi использует мощную ботнет-сеть, состоящую из приблизительно 170 000 ежедневно активных ботов. При этом с августа исследователи из лаборатории вели наблюдение за 1.3 миллиона уникальных IP-адресов, связанных с ботнетом, которые, главным образом, были зарегистрированы в Бразилии.
Используя специальное вредоносное программное обеспечение, такое как «pandoraspear» и «pcdn», злоумышленники из Bigpanzi заражают устройства, превращая их в узлы для нелегальной потоковой передачи медиа, прокси-серверы трафика, организации DDoS-атак и предоставления доступа к контенту через нелегальные OTT.
Вредоносное программное обеспечение «pandoraspear» выполняет функции бэкдор-трояна, перехватывая настройки DNS, устанавливая командно-контрольную связь (C2) и выполняя команды с сервера C2. Оно поддерживает различные команды для манипулирования настройками DNS, инициирования DDoS-атак, самообновления, создания обратных оболочек, управления связью C2 и выполнения произвольных команд ОС. Во избежание обнаружения «pandoraspear» использует такие сложные методы, как модифицированная оболочка UPX, динамическое связывание, компиляция OLLVM и механизмы защиты от ошибок.
Подписывайтесь на Mediasat в Telegram: здесь самые интересные новости из мира технологий
Параллельно используется вредоносное программное обеспечение «pcdn», с помощью которого злоумышленники создают одноранговые (P2P) сети распространения контента (CDN) с вовлечением зараженных устройств, которые также можно использовать в качестве источников DDoS-атак.
Эксперты получили представление о масштабах ботнета, заполучив контроль над двумя доменами C2, которые используют злоумышленники из Bigpanzi, и проведя семидневное наблюдение за ними. Исследователи обнаружили, что ботнет использует 170 000 ботов, активных ежедневно в час пик, работающих с более чем 1.3 миллиона отдельных IP-адресов, за которыми ведётся наблюдение с августа.
Несмотря на тайный характер деятельности Bigpanzi, исследователи отмечают, что проведенное ими расследование выявило лишь верхушку айсберга, намекая тем самым на существование более разветвлённой и запутанной сети. В отчёте не разглашаются детали расследования, однако указано, что они были переданы соответствующим правоохранительным органам.
Ранее мы сообщали, что на дешевых китайских Android TV приставках обнаружили вредоносное программное обеспечение.