Bigpanzi Botnet
Una organización cibercriminal no identificada anteriormente, denominada 'Bigpanzi', ha estado generando ganancias sustanciales al comprometer los decodificadores Android TV y eCos en todo el mundo desde al menos 2015. Según los investigadores, este grupo de amenazas gestiona una extensa botnet que comprende alrededor de 170.000 bots activos diarios. En particular, desde agosto, los investigadores han identificado 1,3 millones de direcciones IP únicas vinculadas a la botnet, la mayoría ubicadas en Brasil. Bigpanzi emplea métodos como infectar dispositivos mediante actualizaciones de firmware o manipular a los usuarios para que instalen aplicaciones comprometidas sin saberlo.
Estas infecciones sirven como fuente de ingresos para los ciberdelincuentes que transforman los dispositivos comprometidos en nodos para diversas actividades ilícitas, incluidas plataformas de transmisión de medios ilegales, redes de proxy de tráfico, enjambres de denegación de servicio distribuido (DDoS) y suministro de contenido Over-The-Top (OTT). .
Tabla de contenido
La operación de botnet Bigpanzi implementa amenazas de malware adicionales
La operación de cibercrimen realizada por Bigpanzi emplea dos herramientas de malware personalizadas conocidas como 'pandoraspear' y 'pcdn'.
Pandoraspear funciona como un troyano de puerta trasera, tomando el control de la configuración de DNS, estableciendo comunicación con un servidor de comando y control (C2) y ejecutando comandos recibidos del servidor C2. El malware admite una variedad de comandos, lo que le permite manipular la configuración de DNS, iniciar ataques DDoS, actualizarse automáticamente, crear shells inversos, administrar la comunicación con el C2 y ejecutar comandos arbitrarios del sistema operativo. Para evadir la detección, Pandoraspear emplea técnicas sofisticadas, como un shell UPX modificado, enlaces dinámicos, compilación OLLVM y mecanismos antidepuración.
Pcdn, por otro lado, se utiliza para construir una red de distribución de contenido (CDN) peer-to-peer (P2P) en dispositivos infectados y posee capacidades DDoS para convertir aún más estos dispositivos en armas.
La botnet Bigpanzi tiene alcance global
Durante las horas pico, la botnet Bigpanzi cuenta con 170.000 bots diarios y, desde agosto de 2023, los investigadores han identificado más de 1,3 millones de IP distintas asociadas con la botnet. Sin embargo, debido a la actividad intermitente de las TV Box comprometidas y a las limitaciones en la visibilidad de los analistas de ciberseguridad, es muy probable que el tamaño real de la botnet supere estas cifras. Durante los últimos ocho años, Bigpanzi parece haber operado de manera encubierta, acumulando riqueza discretamente. A medida que avanzaban sus operaciones, se ha producido una notable proliferación de muestras, nombres de dominio y direcciones IP.
Los investigadores sugieren que, dada la enormidad y complejidad de la red, sus hallazgos sólo tocan la superficie de lo que realmente implica Bigpanzi. Hasta el momento, los expertos en seguridad de la información no han revelado ningún detalle sobre la atribución de la operación de la botnet. Sin embargo, un análisis de la amenaza pcdn los llevó a un canal sospechoso de YouTube que se cree que está bajo el control de una empresa en particular.
Vectores de infección explotados por los actores de amenazas detrás de Bigpanzi
El grupo cibercriminal se centra en las plataformas Android y eCos y utiliza tres métodos distintos para infectar los dispositivos de los usuarios:
- Aplicaciones pirateadas de películas y TV (Android) : Bigpanzi aprovecha aplicaciones pirateadas relacionadas con películas y programas de TV en dispositivos Android. Los usuarios, sin saberlo, descargan e instalan estas aplicaciones amenazantes, lo que proporciona un punto de entrada para que la botnet comprometa los dispositivos.
- Firmware OTA genérico con puerta trasera (Android) : otro método implica manipular actualizaciones de firmware inalámbricas (OTA) en dispositivos Android. Los ciberdelincuentes introducen puertas traseras en estas actualizaciones, lo que les permite explotar vulnerabilidades durante el proceso de instalación y obtener acceso no autorizado a los dispositivos.
- Firmware 'SmartUpTool' con puerta trasera (eCos) : para dispositivos que funcionan en la plataforma eCos, Bigpanzi apunta a un firmware específico llamado 'SmartUpTool'. Los ciberdelincuentes comprometen este firmware introduciendo puertas traseras, lo que les permite infiltrarse y controlar dispositivos impulsados por eCos.
Al emplear estos tres métodos, Bigpanzi garantiza una amplia gama de vectores de ataque, explotando a usuarios desprevenidos que interactúan con contenido pirateado o actualizan sus dispositivos a través de firmware comprometido.
