Un’indagine approfondita ha rivelato l’esistenza di un sindacato del crimine informatico, finora sconosciuto, denominato “Bigpanzi”, che da anni infetta dispositivi Android TV e set-top box eCos in tutto il mondo. Secondo quanto riportato da Qianxin Xlabs, questo gruppo gestisce una botnet su larga scala composta da circa 170.000 bot attivi giornalieri, con un picco di oltre 1,3 milioni di indirizzi IP unici identificati, soprattutto in Brasile.
Il metodo di infezione principale utilizzato da Bigpanzi prevede l’installazione di firmware contraffatti o applicazioni ingannevoli, con l’obiettivo di trasformare i dispositivi infetti in nodi utilizzati per piattaforme di streaming illegale, reti di proxying del traffico, attacchi DDoS e fornitura di contenuti OTT.
In primo piano nel modus operandi di Bigpanzi vi sono due strumenti malware: “pandoraspear” e “pcdn”. Pandoraspear, agendo come un trojan backdoor, permette il controllo remoto dei dispositivi, dirottando le impostazioni DNS e eseguendo comandi dal server di comando e controllo. Pcdn, invece, è usato per costruire una Content Distribution Network (CDN) peer-to-peer sui dispositivi infetti e possiede capacità di lanciare attacchi DDoS.
L’analisi di Xlabs ha permesso di comprendere l’ampiezza della botnet, anche se la dimensione effettiva potrebbe essere molto maggiore a causa delle limitazioni di visibilità degli analisti di cybersecurity. Questo scenario mette in evidenza l’importanza di una maggiore vigilanza nel campo della sicurezza informatica, in quanto gruppi come Bigpanzi possono operare inosservati per anni, accumulando enormi ricchezze e mettendo a rischio la sicurezza degli utenti.
