Botnet infecta 170 mil TV boxes e tem atividade intensa no Brasil

Grupo conhecido como Bigpanzi infecta TV boxes para usá-las em distribuição de streaming ilegal, redirecionamento de tráfego e ataques DDoS

Por Giovanni Santa Rosa

há 3 meses

Usuários são enganados e instalavam apps com malware em suas TV boxes (Imagem: Vitor Pádua / Tecnoblog)

Um grupo cibercriminoso chamado Bigpanzi comanda uma rede de TV boxes infectadas, que chega a contar com 170 mil dispositivos ativos diariamente. A maioria das máquinas roda Android TV, e a botnet tem atividade intensa no Brasil: mais de 1,3 milhão de endereços IPs associados à rede foram registrados desde agosto.

As informações são do laboratório Qianxin Xlabs, que tem sede em Pequim (China). Botnet é o nome dado a uma rede de aparelhos infectados, que passam a ser controlados por um grupo ou entidade.

A rede da Bigpanzi é usada por plataformas de streaming ilegal, redes de redirecionamento de tráfego e ataques de negação de serviço (DDoS, na sigla em inglês). Assim, os cibercriminosos conseguem ganhar dinheiro com os aparelhos infectados.

Segundo os pesquisadores, o Bigpanzi engana os usuários para que eles instalem apps ou atualizações com backdoors. O grupo usa dois malwares para ganhar acesso aos dispositivos. O “pandoraspear” é um trojan que sequestra as configurações de DNS, conectando o aparelho a uma rede de comando e controle. Já o “pcdn” cria uma rede peer-to-peer (P2P) para distribuição de conteúdo com os outros aparelhos infectados, que pode ser usada em ataques DDoS.

IPs associados à botnet são do Brasil

A equipe da Qianxin Xlabs conseguiu sequestrar dois domínios de servidores usados para comando e controle da botnet. Ao longo de sete dias de observação, os analistas descobriram que a rede chega a ter 170 mil aparelhos diariamente, nos períodos de pico. Eles também registraram o uso de 1,3 milhão de IPs associados à botnet.

Mapa do Brasil indicando estados com mais TV boxes infectadas. São Paulo está em destaque, com a cor mais escura, seguido do Rio de Janeiro. Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná e Santa Catarina têm cores mais claras. Os demais estados estão em branco. — São Paulo concentra a maior atividade da rede no Brasil (Imagem: Reprodução/Qianxin Labs)

Os especialistas em cibersegurança dizem que a maioria das TV boxes e dos IPs encontrados é do Brasil. Eles conseguiram até mesmo um retrato da distribuição geográfica da rede no país: São Paulo é o estado com mais aparelhos infectados, seguido pelo Rio de Janeiro. Também constam no mapa Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná e Santa Catarina.

A empresa de cibersegurança também conta ter encontrado links para download do malware infectado em um canal de YouTube e no site de uma fabricante espanhola. A Qianxin Xlabs afirma ter mais detalhes, mas prefere não divulgá-los.

Numa entrevista ao Tecnoblog, a Anatel recomendou que as TV box infectadas sejam descartadas.

Com informações: Qianxin Xlabs, Bleeping Computer