Hacker infiltrieren Android-TVs und Set-Top-Boxen

Eine Cybercrime-Gruppe namens Bigpanzi treibt ihr Unwesen. Sie infizieren mindestens seit 2015 gewisse Android-TV-Geräte und Set-Top-Boxen, wie das chinesische Cybersicherheitsunternehmen Xlabs mitteilt. 

Die Gruppe verfügt demnach über ein gross angelegtes Botnetzwerk in Brasilien mit ungefähr 170'000 täglich aktiven Bots, wie es heisst. Zudem stünden 1,3 Millionen verschiedene IP-Adressen mit dem Netzwerk in Verbindung. Die Forschenden gehen im Bericht davon aus, dass die Zahl der Bots wahrscheinlich höher ist.

Im Gegensatz zu anderen Botnets, die sich primär über Zero-Day-Schwachstellen verbreiten würden, bestehe die Vorgehensweise dieser Gruppe darin, Nutzer zur Installation kostenloser oder billiger Apps oder Firmware-Updates zu verleiten. In diesen seien Backdoors installiert. Sobald der User die Anwendung installiert, verwandeln sich das Gerät in einen operativen Knotenpunkt.

Die Cyberkrminellen sind in der Lage, mithilfe der infizierten Geräte aus ihrer Aktivität Kapital zu schlagen, wie Bleepingcomputer schreibt. Dabei würden sie die kompromittierten Geräte für illegale Medien-Streaming-Plattformen, Traffic-Proxy-Netzwerke, DDoS-Attacke und OTT-Inhalte missbrauchen. Die Hacker können aber die Android-Fernseher und Set-Top-Boxen missbrauchen, um jede Form von visuellen oder Audio-Inhalten zu verbreiten, unabhängig von rechtlichen Beschränkungen, wie Xlabs schreibt.

Hacker verwenden zwei Schadprogramme: Pandoraspear und Pcdn

Die Cyberkriminellen verwenden dabei zwei Malware-Tools: "Pandoraspear" und "Pcdn", wie es weiter heisst. Pandoraspear agiere dabei als Trojaner, der die DNS-Einstellungen des Rechners konfugiert. Damit könne die Malware eine Command-and-Control-Kommunikation (C2) herstellen und so vom C2-Server Befehle entgegennehmen.

Die Malware unterstütze eine Vielzahl von Befehlen, die es ihr ermöglichen, DNS-Einstellungen zu manipulieren, DDoS-Angriffe zu initiieren und sich selbst zu aktualisieren. Darüber hinaus könne sie Reverse Shells erstellen, mit der die Angreifer ihre Angriffe verdecken. Auch könne das Programm ihre Kommunikation mit dem C2 zu verwalten und beliebige Befehle auf dem Betriebssystem auszuführen. Zudem führt es laut dem Bericht regelmässig Updates durch, wobei früher verwendete Host-Dateien in einem Ordner abgelegt werden. Das deute daraufhin, dass Bigpanzi einmal kompromittierte Geräte über Jahre hinweg "wartet" und aktualisiert.

Pandoraspear baut gemäss Xlabs auf eine UPX-Shell auf. Die Malware sei auf dynamisches Linking angewiesen und greife daher auf eine externe Libcurl-Bibliothek zurück. Diese Abhängigkeit sei ausschlaggebend für seine anhaltend niedrige Entdeckungsrate, da standardmässige Geräte diese Programme und ihre Befehle oft nicht ausführen und darum auch nicht erkennen könnten.

Den Trojaner würden die Kriminellen mit "OLLVM", einem "Obfuscator", verstecken. Pandoraspear wende zudem eine Anti-Debugging-Technik an, indem es eine Tracerpid liest, um festzustellen, ob es sich um einen Debugger handelt.

Eine analysierte Pcdn-Probe haben die chinesischen Forscher laut dem Bericht zu einem verdächtigen YouTube-Kanal geführt, den ein Unternehmen betreibt. Der Xlabs-Bericht enthält jedoch keine Details, wem dieser Kanal gehört und wer das Bot-Netzwerk unterhält. Dies ist vermutlich den dafür zuständigen Strafverfolgungsbehörden vorbehalten, wie Bleepingcomputer schreibt.

Übrigens: DDoS-Attacken werden immer heftiger und raffinierter. Die häufigsten Ziele der Attacken sind der Gaming-Sektor sowie die Telekommunikations- und Finanzbranche. Mehr dazu können Sie hier lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.