Botnet Bigpanzi lây nhiễm mã độc 170.000 Android TV box

Nhóm hacker có tên ‘Bigpanzi’ đã kiếm được số tiền đáng kể bằng cách lây nhiễm mã độc các box Android TV và eCos trên toàn thế giới ít nhất từ năm 2015.

Công ty an ninh mạng Qianxin Xlabs (Bắc Kinh) báo cáo rằng nhóm hacker kiểm soát một mạng botnet quy mô lớn với khoảng 170.000 bot hoạt động hàng ngày. Tuy nhiên, các nhà nghiên cứu đã phát hiện 1,3 triệu địa chỉ IP duy nhất được liên kết với botnet kể từ tháng 8, hầu hết ở Brazil.

Bigpanzi lây nhiễm vào các thiết bị thông qua các bản cập nhật firmware hoặc các ứng dụng backdoor mà người dùng bị lừa cài đặt.

Hacker kiếm tiền từ những hoạt động lây nhiễm này bằng cách biến các thiết bị thành node cho các nền tảng stream media bất hợp pháp, mạng traffic proxy, DDoS…

Báo cáo của Xlabs tập trung vào ‘pandoraspear’ và ‘pcdn’, hai công cụ mã độc mà Bigpanzi sử dụng. Trong đó, pandoraspear hoạt động như một trojan backdoor, chiếm quyền điều khiển cài đặt DNS, thiết lập liên lạc C2 và thực thi các lệnh nhận được từ máy chủ C2. Pcdn được sử dụng để xây dựng Mạng phân phối nội dung (CDN) ngang hàng (P2P) trên các thiết bị bị nhiễm và sở hữu khả năng DDoS để vũ khí hóa các thiết bị.

Nguồn: Bleeping Computer