Ботнет «Bigpanzi» превратил сотни тысяч ТВ-приставок в управляемых марионеток

[Artifact]

Пекинская исследовательская группа Qianxin выявила киберпреступную сеть «Bigpanzi», занимающуюся заражением вредоносным ПО устройств на базе Android TV и eCos. География заражений воистину обширна, а функционирует группировка ещё с 2015 года.
Согласно отчёту специалистов, эта группа управляет крупномасштабной ботнет-сетью с ежедневной активностью около 170 000 ботов, при этом с августа замечено более 1,3 миллиона уникальных IP-адресов, в основном в Бразилии.
Злоумышленники инфицируют устройства через фальшивые обновления прошивки или приложения, которые пользователи устанавливают самостоятельно, как указывает сентябрьский отчёт «Доктор Веб».
«Bigpanzi» использует инфицированные устройства в качестве узлов для незаконных платформ медиастриминга, сетей прокси-трафика, распределённых атак типа «отказ в обслуживании» (DDoS) и предоставления контента через OTT.
В докладе Qianxin особое внимание уделяется двум инструментам вредоносного ПО, используемым «Bigpanzi»: «pandoraspear» и «pcdn». Так, «Pandoraspear» действует как троян-бэкдор, он перехватывает настройки DNS, устанавливает связь с сервером управления (C2) и выполняет команды, получаемые от него. Этот вирус поддерживает ряд команд, позволяющих манипулировать настройками DNS, инициировать DDoS-атаки, обновлять себя, создавать обратные оболочки, управлять связью с C2 и выполнять произвольные команды в ОС.
Второй инструмент, «pcdn», используется для создания одноранговой сети распределения контента (CDN) на заражённых устройствах и также обладает возможностями DDoS.
Исследователи Qianxin получили представление о масштабах ботнета, перехватив два C2-домена, используемых злоумышленниками, и проведя семидневное наблюдение. Как уже упоминалось выше, «Bigpanzi» на пике активности насчитывает 170 000 ботов в день, хотя по факту заражённых устройств может быть больше — едва ли все заражённые ТВ-боксы будут активны одновременно.
Экземпляры вредоносного ПО, проанализированные китайскими исследователями, даже привели их к подозрительному YouTube-каналу, контролируемому «Bigpanzi». Тем не менее, в отчёте Qianxin не раскрыто никаких подробностей об атрибуции этой вредоносной сети.
Возвращаясь от теоретических исследований к реальной жизни: как же распознать, что ваша ТВ-приставка или смарт-телевизор заражены ботнетом? Возможные признаки — замедление интерфейса, перегрев устройства без видимых на то причин, а также повышенный трафик при простое. Многие современные роутеры и Wi-Fi точки доступа позволяют отслеживать активность подключенных устройств. Если телевизор или приставка генерируют аномальные объёмы трафика — это может указывать на заражение.
Чтобы не стать жертвой, следует проявлять осмотрительность и не устанавливать непроверенное ПО или обновления прошивки с сомнительных ресурсов. К сожалению, многие устройства этого сегмента не отличаются надёжностью защиты от вредоносного ПО, поэтому и риск стать жертвой хакеров при их использовании повышается многократно.