En el vasto mundo de la ciberseguridad, una nueva amenaza ha emergido con la fuerza de un tsunami digital: el botnet BigPanzi. Este sofisticado malware ha logrado infectar más de 170,000 Android TV Boxes, generando una gran preocupación en la comunidad de seguridad informática y usuarios.
Un sindicato de cibercriminales previamente desconocido, conocido como 'Bigpanzi', ha estado obteniendo beneficios significativos infectando decodificadores Android TV y sistemas eCos en todo el mundo desde al menos 2015.
Según el informe de Qianxin Xlabs, una empresa con sede en Beijing, este grupo de amenazas opera una extensa botnet que consta de aproximadamente 170,000 bots activos cada día. Sin embargo, desde agosto, los investigadores han detectado alrededor de 1.3 millones de direcciones IP únicas relacionadas con esta botnet, la mayoría de las cuales se encuentran en Brasil.
Bigpanzi lleva a cabo la infección de estos dispositivos a través de actualizaciones de firmware fraudulentas o aplicaciones con puertas traseras que engañan a los usuarios para que las instalen por sí mismos, según se destacó en un informe de septiembre de 2023 publicado por Dr. Web.
Los ciberdelincuentes generan ingresos mediante la transformación de estos dispositivos en nodos utilizados para actividades ilegales, como la transmisión ilegal de contenido multimedia, el enrutamiento de tráfico a través de redes de proxy, la realización de ataques distribuidos de denegación de servicio (DDoS) y la prestación de servicios de contenido OTT.
Aplicaciones malignas que portan componentes dañinos de software
Te podrá interesar leer: La Creciente Amenaza de Malware en Android TV
El informe de Xlabs se centra en 'pandoraspear' y 'pcdn', dos herramientas de malware empleadas en las operaciones de Bigpanzi.
Pandoraspear funciona como un troyano de puerta trasera, tomando el control de la configuración de DNS, estableciendo comunicación de comando y control (C2) y ejecutando órdenes que recibe del servidor C2.
Este malware es capaz de llevar a cabo diversas órdenes, que van desde manipular la configuración de DNS, iniciar ataques DDoS, actualizarse, establecer shells inversos, gestionar la comunicación con el C2 y ejecutar comandos arbitrarios en el sistema operativo.
Pandoraspear utiliza técnicas avanzadas, como una versión modificada del shell UPX, enlaces dinámicos, compilación OLLVM y métodos para evitar ser detectado durante su depuración.
Por su parte, 'pcdn' se utiliza para crear una red de distribución de contenido (CDN) peer-to-peer (P2P) en dispositivos infectados y posee capacidades DDoS que permiten convertir esos dispositivos en armas.
Podría interesarte: Análisis de Malware con Wazuh
La información sobre la escala de la botnet fue obtenida por Xlabs después de tomar el control de dos dominios C2 utilizados por los atacantes y realizar una observación durante siete días. Los analistas han informado que en horas punta, la botnet Bigpanzi cuenta con 170,000 bots activos diariamente y se han registrado más de 1.3 millones de direcciones IP distintas desde agosto.
Sin embargo, dado que las TV Box comprometidas no están activas simultáneamente en todo momento y debido a las limitaciones en la visibilidad de los analistas de ciberseguridad, se considera inevitable que el tamaño real de la botnet sea aún mayor.
El informe señala: "Durante los últimos ocho años, Bigpanzi ha estado operando de manera sigilosa, acumulando riqueza en la oscuridad. Con el desarrollo de sus operaciones, ha habido un aumento significativo en muestras, nombres de dominio y direcciones IP. En una red tan vasta y compleja, nuestros hallazgos representan solo la punta del iceberg en lo que respecta al alcance de Bigpanzi".
Además, los investigadores encontraron artefactos en la muestra de 'pcdn' que los llevaron a un canal de YouTube sospechoso bajo el control de una empresa. Sin embargo, el informe de Xlabs aún no ha revelado detalles de atribución, presumiblemente reservándolos para las autoridades policiales correspondientes.
Nota de un portavoz de Google:
"Estos dispositivos infectados parecen ser dispositivos del Proyecto de código abierto de Android (AOSP), lo que significa que cualquiera puede descargar y modificar el código.
Android TV es el sistema operativo de Google para televisores inteligentes y dispositivos de transmisión. Es propietario, lo que significa que sólo Google y sus socios autorizados pueden modificar el código.
Si un dispositivo no tiene la certificación Play Protect, Google no tiene un registro de los resultados de las pruebas de seguridad y compatibilidad. Los dispositivos Android certificados por Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad del usuario".
Conoce más sobre: Microsoft Defender for IoT: Protección Avanzada
El botnet BigPanzi es un recordatorio de la constante evolución de las amenazas en el ciberespacio. Los usuarios de dispositivos Android, en particular de Android TV Boxes, deben estar vigilantes y tomar medidas proactivas para proteger sus dispositivos. Siguiendo las mejores prácticas de seguridad, como las mencionadas anteriormente, los usuarios pueden reducir significativamente el riesgo de infección por BigPanzi y otros malwares similares.
Mantenerse informado y educado sobre las amenazas de seguridad cibernética es crucial en la era digital. La prevención es siempre mejor que la cura, especialmente cuando se trata de la seguridad de nuestra información digital y la integridad de nuestros dispositivos.