Botnet infecta 170 mil TV boxes e tem atividade intensa no Brasil
Grupo conhecido como Bigpanzi infecta TV boxes para usá-las em distribuição de streaming ilegal, redirecionamento de tráfego e ataques DDoS
Grupo conhecido como Bigpanzi infecta TV boxes para usá-las em distribuição de streaming ilegal, redirecionamento de tráfego e ataques DDoS
Um grupo cibercriminoso chamado Bigpanzi comanda uma rede de TV boxes infectadas, que chega a contar com 170 mil dispositivos ativos diariamente. A maioria das máquinas roda Android TV, e a botnet tem atividade intensa no Brasil: mais de 1,3 milhão de endereços IPs associados à rede foram registrados desde agosto.
As informações são do laboratório Qianxin Xlabs, que tem sede em Pequim (China). Botnet é o nome dado a uma rede de aparelhos infectados, que passam a ser controlados por um grupo ou entidade.
A rede da Bigpanzi é usada por plataformas de streaming ilegal, redes de redirecionamento de tráfego e ataques de negação de serviço (DDoS, na sigla em inglês). Assim, os cibercriminosos conseguem ganhar dinheiro com os aparelhos infectados.
Segundo os pesquisadores, o Bigpanzi engana os usuários para que eles instalem apps ou atualizações com backdoors. O grupo usa dois malwares para ganhar acesso aos dispositivos. O “pandoraspear” é um trojan que sequestra as configurações de DNS, conectando o aparelho a uma rede de comando e controle. Já o “pcdn” cria uma rede peer-to-peer (P2P) para distribuição de conteúdo com os outros aparelhos infectados, que pode ser usada em ataques DDoS.
A equipe da Qianxin Xlabs conseguiu sequestrar dois domínios de servidores usados para comando e controle da botnet. Ao longo de sete dias de observação, os analistas descobriram que a rede chega a ter 170 mil aparelhos diariamente, nos períodos de pico. Eles também registraram o uso de 1,3 milhão de IPs associados à botnet.
Os especialistas em cibersegurança dizem que a maioria das TV boxes e dos IPs encontrados é do Brasil. Eles conseguiram até mesmo um retrato da distribuição geográfica da rede no país: São Paulo é o estado com mais aparelhos infectados, seguido pelo Rio de Janeiro. Também constam no mapa Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná e Santa Catarina.
A empresa de cibersegurança também conta ter encontrado links para download do malware infectado em um canal de YouTube e no site de uma fabricante espanhola. A Qianxin Xlabs afirma ter mais detalhes, mas prefere não divulgá-los.
Numa entrevista ao Tecnoblog, a Anatel recomendou que as TV box infectadas sejam descartadas.
Com informações: Qianxin Xlabs, Bleeping Computer