Підпільний синдикат кіберзлочинців, відомий як Bigpanzi, з 2015 року отримує незаконні прибутки, заражаючи по всьому світу сет-топ-бокси, що працюють під управлінням систем Android TV та eCos.
Як виявили дослідники з пекінської лабораторії Qianxin Xlabs, синдикат Bigpanzi має потужну ботнет-мережу, що складається з приблизно 170 000 щоденно активних ботів. При цьому від серпня дослідники з лабораторії спостерігали за 1.3 мільйона унікальних IP-адрес, пов’язаних із ботнетом, що, головним чином, були зареєстровані у Бразилії.
Використовуючи спеціальне шкідливе програмне забезпечення, таке як «pandoraspear» і «pcdn», зловмисники з Bigpanzi заражають пристрої, перетворюючи їх на вузли для нелегального потокового передавання медіа, проксі-сервери трафіку, організації DDoS-атак і надання доступу до контенту через нелегальні OTT.
Шкідливе програмне забезпечення «pandoraspear» виконує функції бекдор-трояна, перехоплюючи налаштування DNS, встановлюючи командно-контрольний зв’язок (C2) і виконуючи команди з сервера C2. Воно підтримує різні команди для маніпулювання налаштуваннями DNS, ініціювання DDoS-атак, самооновлення, створення зворотних оболонок, керування зв’язком C2 і виконання довільних команд ОС. Задля уникнення виявлення «pandoraspear» використовує такі складні методи, як модифікована оболонка UPX, динамічне зв’язування, компіляція OLLVM і механізми захисту від помилок.
Підписуйтесь на Mediasat в Telegram: тут найцікавіші новини зі світу технологій
Паралельно використовується шкідливе програмне забезпечення «pcdn», за допомогою якого зловмисники створюють однорангові (P2P) мережі розповсюдження контенту (CDN) із залученням заражених пристроїв, які також можна використовувати як джерело DDoS-атак.
Експерти отримали уявлення про масштаби ботнету, захопивши контроль над двома доменами C2, які використовують зловмисники з Bigpanzi, та провівши семиденне спостереження за ними. Дослідники виявили, що ботнет використовує 170 000 ботів, активних щоденно у час пік, що працюють із понад 1.3 мільйона окремих IP-адрес, за якими ведеться спостереження від серпня.
Попри таємний характер діяльності Bigpanzi, дослідники відзначають, що проведене ними розслідування виявило лише верхівку айсберга натякаючи тим самим на існування набагато розгалуженішої та заплутаної мережі. У звіті не розголошуються деталі розслідування, однак, зазначено, що їх було передано відповідним правоохоронним органам.
Раніше ми повідомляли, що на дешевих китайських Android TV приставках виявили зловмисне програмне забезпечення.