O laboratório de cibersegurança Qianxin Xlabs, sediado na China, divulgou informações alarmantes sobre a atuação de um grupo cibercriminoso denominado Bigpanzi. Conforme o estudo, este grupo exerce controle diário sobre uma extensa rede de 170 mil TV boxes no Brasil, os quais foram comprometidos com malware, transformando-se em botnets. Tal comprometimento possibilita a realização de atividades ilícitas na internet, incluindo ataques hackers.
Desde agosto, mais de 1,3 milhão de endereços IP associados a esses dispositivos foram registrados, sendo a maioria ativa nos Estados de São Paulo e Rio de Janeiro. Além destes, Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná e Santa Catarina também apresentam registros de TV boxes infectados.
Os decodificadores em questão operam com os sistemas AndroidTV e eCos, sendo alvo do grupo cibercriminoso desde 2015. O relatório do Qianxin Xlabs destaca que as descobertas representam apenas uma parcela da extensa rede mantida pelo Bigpanzi, evidenciando a necessidade de contínuo trabalho de rastreamento e investigação.
O Modus Operandi
Os dispositivos são comprometidos por meio de atualizações de firmware ou aplicativos de backdoor, os quais os usuários são compelidos a instalar para garantir o funcionamento de serviços ilegais de TV box pirata. Esses aparelhos transformam-se em nós de conexão para plataformas ilegais de streaming, redes de proxy de tráfego, enxames de negação de serviço distribuído (DDoS) e fornecimento de conteúdo over the top (OTT).
Na prática, os dispositivos tornam-se pontos de conexão para serviços irregulares, inclusive mascarando cibercrimes, com o grupo cibercriminoso lucrando ao intermediar essas atividades.
A Infecção
O Bigpanzi utiliza artifícios para enganar os usuários, induzindo-os a instalar aplicativos ou atualizações contendo backdoors. Após essa instalação, o grupo cibercriminoso emprega dois malwares para acessar os dispositivos. O trojan “pandoraspear” sequestra as configurações DNS da TV box, conectando o aparelho a uma rede de comando e controle sob domínio do grupo. Posteriormente, o malware “pcdn” estabelece uma rede ponto-a-ponto (P2P) para a distribuição de conteúdo entre dispositivos afetados, permitindo troca de dados e a realização de ataques DDoS.
O relatório também destaca que links para download do malware foram identificados em um canal do YouTube e no site de uma fabricante espanhola.
Fonte: Amo direito.
