Non siamo nemmeno a tre settimane dall’inizio dell’anno, e già siamo in mezzo a un incredibile attacco malware da parte di un gruppo hacker, Bigpanzi. Secondo il rapporto della società di cybersecurity Qianxin Xlabs, la sua botnet rischia di mettere in pericolo centinaia di migliaia di dispositivi Android.
Va detto però che al momento il rapporto Xlabs non ha ancora divulgato ulteriori dettagli sulla natura dei malware, presumibilmente riservandoli alle autorità di contrasto competenti.
Bigpanzi, il gruppo hacker dietro gli attacchi ad Android
Un syndacate della criminalità informatica: questo è ‘Bigpanzi‘, che ha fatto incetta di profitti infettando Android TV e set-top box eCos in tutto il mondo, almeno dal 2015.
E questo perché Bigpanzi infetta i dispositivi attraverso aggiornamenti firmware o app backdoor che gli utenti sono indotti ad installare autonomamente, come evidenziato in un rapporto di settembre 2023 di Dr. Web.
Secondo quanto riferito da Qianxin Xlabs, società di cybersecurity con sede a Pechino, questo syndacate ha sotto il suo controllo una vasta botnet con circa 170.000 bot attivi ogni giorno. Per la precisione, gli analisti riferiscono che la botnet Bigpanzi conta 170.000 bot giornalieri nelle ore di punta e da agosto ha osservato oltre 1,3 milioni di IP distinti, principalmente in Brasile.
Tuttavia, a causa della non contemporaneità degli smart TV box compromessi e delle limitazioni della visibilità degli analisti, si crede che la dimensione effettiva della botnet sia ancora più grande.
Quali sono i malware di Bigpanzi a cui stare attenti
Il rapporto di Xlabs si concentra su due strumenti malware utilizzati da Bigpanzi nelle sue operazioni, noti come Pandoraspear e Pcdn.
Pandoraspear
Pandoraspear agisce come un trojan backdoor, dirottando le impostazioni DNS, stabilendo comunicazioni di comando e controllo (C2) ed eseguendo comandi ricevuti dal server C2.
Questo malware supporta una varietà di comandi, tra cui la manipolazione delle impostazioni DNS, attacchi DDoS, aggiornamenti, creazione di shell inverse, gestione della comunicazione con C2 ed esecuzione di comandi arbitrari del sistema operativo.
Per eludere il rilevamento, Pandoraspear utilizza tecniche sofisticate come shell UPX modificata, collegamento dinamico, compilazione OLLVM e meccanismi anti-debug.
Pcdn
Pcdn, l’altro strumento, è utilizzato per creare una rete di distribuzione dei contenuti (CDN) peer-to-peer (P2P) su dispositivi infetti e dispone di funzionalità DDoS per armare i dispositivi.
Xlabs ha acquisito informazioni sulla portata della botnet dopo aver violato due domini C2 utilizzati dagli aggressori e aver condotto un’osservazione di sette giorni.
Una ricchezza smodata, ma a danno degli utenti
Il rapporto sottolinea che, in oltre otto anni di attività, Bigpanzi ha accumulato ricchezza in modo silenzioso e operato nell’ombra. La vastità e la complessità della rete indicano che i risultati attuali rappresentano solo la punta dell’iceberg di ciò che Bigpanzi ha raggiunto.
I criminali informatici come loro monetizzano queste infezioni trasformando i dispositivi in nodi per piattaforme di streaming multimediale illegali, reti di proxy del traffico, sciami DDoS (Distributed Denial of Service) e forniture di contenuti OTT.
Un portavoce di Google a Bleeping Computer ha confermato che i dispositivi infetti sembrano essere dispositivi Android Open Source Project (AOSP), precisando che Android TV è un sistema operativo proprietario di Google per smart TV e dispositivi di streaming. Il portavoce ha sottolineato che solo i dispositivi Android certificati Play Protect sono sottoposti a test approfonditi per garantire la qualità e la sicurezza dell’utente.
