Onderzoekers leggen botnet van 170.000 Android TV’s bloot
Meer dan 170.000 Android TV-toestellen zijn wereldwijd geïnfecteerd met malware. Dat ontdekten onderzoekers van Qianxin Xlabs, een cybersecuritybedrijf uit Peking. De organisatie achter de malwarecampagne heet ‘Bigpanzi’ en is al sinds 2015 actief.
Botnet met 170.000 toestellen
Het merendeel van de Android TV-dozen werd gehackt nadat gebruikers er onveilige apps op installeerden. In veel gevallen bezochten de slachtoffers een streamingwebsite die hen aanspoorde om een app op hun televisie te installeren. Die apps zorgden er dan voor dat de hackers zich een weg door het besturingssysteem van de smart tv konden banen. Na infectie maken de toestellen deel uit van een botnet dat meer dan 170.000 toestellen omvat.
Het botnet werd ingezet bij meerdere DDoS-aanvallen en werd zelfs gebruikt om de beeldschermen zelf te kapen. Dat laatste gebeurde onlangs in de Verenigde Arabische Emiraten. Daar kregen tv-kijkers plots gruwelijke beelden van het conflict tussen Israël en Palestina te zien. Op het tv-scherm stond in gebroken Engels een boodschap te lezen die geen twijfel liet over de herkomst van de beelden: “We no choice to but to hack to deliver this message to you”.
Behalve om de tv zelf te hacken, worden de geïnfecteerde toestellen ook voor andere zaken ingezet. Zo kan de organisatie de rekenkracht van de tv’s gebruiken om illegale content te streamen, DDoS-aanvallen uit te voeren. Om dat mogelijk te maken gebruiken de hackers twee malwaretools: pandoraspear en pcdn. Die systemen maken het voor de hackers mogelijk om te communiceren met de tv-toestellen en ze in te zetten voor cyberaanvallen.
Zwaartepunt in Brazilië
De onderzoekers melden dat het zwaartepunt van de operatie in de Braziliaanse stad São Paolo ligt. Het opsporen van geïnfecteerde toestellen is echter geen sinecure. Het gaat namelijk om televisies die niet de hele dag ingeschakeld zijn. Het is dus goed mogelijk dat de onderzoekers een grove onderschatting maken van het aantal geïnfecteerde tv’s. Zo spreken de onderzoekers over 1,3 miljoen verschillende IP-adressen die sinds augustus zichtbaar waren in het botnet.
De exacte scope van het botnet wordt nog onderzocht. Alleen wordt dat onderzoek flink bemoeilijkt door Bigpanzi zelf: zodra de hackers doorhadden dat Xlabs mee kon kijken, voerden ze een DDoS-aanval uit op de organisatie. De onderzoekers zelf denken dat ze slechts “het topje van de ijsberg” ontbloot hebben en verwachten nog lang met Bigpanzi bezig te zijn. De onderzoekers kunnen intussen een bedrijf in verband brengen met de criminele organisatie, maar zeggen niet om welk bedrijf het gaat. De bedoeling is om, op termijn, Bigpanzi een veeg uit de pan te geven om er in één klap korte metten mee te maken.