O Brasil tem um grande volume deste tipo de aparelhos infectados, com mais de 1,3 milhão de endereços IP associados e registrados desde agosto. A maior parte dos 170 mil dispositivos está ativo no país e atividade acontece nos Estados de São Paulo e Rio de Janeiro.
Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná e Santa Catarina também estão nos registros de TV box infectados.
Os decodificadores têm o sistema operacional AndroidTV e eCos e o grupo cibercriminoso vem infectando aparelhos desde tipo desde 2015.
“Perante uma rede tão grande e complexa, as nossas descobertas representam apenas a ponta do iceberg em termos do que Bigpanzi abrange. Há uma grande quantidade de trabalho de rastreamento e investigação ainda a ser realizado”, explica o relatório do Qianxin Xlabs.
O que acontece?
O dispositivo é afetado por meio de atualizações de firmware ou por aplicativos de backdoor, onde os usuários são obrigados a instalar para fazer o serviço de TV box pirata funcionar.
Os dispositivos viram nós para conectar plataformas ilegais de streaming de mídia, redes de proxy de tráfego, enxames de negação de serviço distribuído (DDoS), além de fornecimento de conteúdo over the top (OTT).
Na prática, o dispositivo vira um ponto de conexão para outros serviços irregulares e até mesmo para mascarar cibercrimes. E o grupo ganha dinheiro intermediando estas atividades com os dispositivos.
Os pesquisadores explicam que o Bigpanzi engana os usuários para que instalem aplicativos ou atualizações com backdoors, depois o grupo cibercriminoso usa dois malwares para acessar os dispositivos.
Eles instalam o trojan "pandoraspear", que sequestra as configurações DNS da TV box, conectando o aparelho a uma rede de comando e controle, dominada pelo grupo. Depois, com o "pcdn", cria-se uma rede ponto-a-ponto (P2P) para distribuição de conteúdo com outros aparelhos que estão afetados e já preparados para a troca de dados e, até mesmo, fazer ataques de DDoS para inviabilizar sites ou sistemas.
O relatório aponta que links para download do malware foram encontrados em um canal de YouTube e no site de uma fabricante da Espanha.
Por Cido Coelho
Fonte: sbtnews.sbt.com.br