Le botnet infecte 170 000 téléviseurs et a une activité intense au Brésil

Les utilisateurs sont trompés et installent des applications contenant des logiciels malveillants sur leurs téléviseurs (Image : Vitor Pádua / )

Un groupe cybercriminel appelé Bigpanzi contrôle un réseau de boîtiers TV infectés, qui compte jusqu'à 170 000 appareils actifs par jour. La plupart des machines fonctionnent sous Android TV et le botnet est extrêmement actif au Brésil : plus de 1,3 million d'adresses IP associées au réseau ont été enregistrées depuis août.

L'information provient du laboratoire Qianxin Xlabs, basé à Pékin (Chine). Botnet est le nom donné à un réseau d’appareils infectés, contrôlés par un groupe ou une entité.

Le réseau de Bigpanzi est utilisé par des plateformes de streaming illégales, des réseaux de redirection de trafic et des attaques par déni de service (DDoS). De cette façon, les cybercriminels peuvent gagner de l’argent grâce aux appareils infectés.

Selon les chercheurs, Bigpanzi incite les utilisateurs à installer des applications ou des mises à jour via des portes dérobées. Le groupe utilise deux logiciels malveillants pour accéder aux appareils. « Pandoraspear » est un cheval de Troie qui détourne les paramètres DNS, connectant l'appareil à un réseau de commande et de contrôle. « pcdn » crée un réseau peer-to-peer (P2P) pour distribuer du contenu avec d'autres appareils infectés, qui peut être utilisé dans des attaques DDoS.

Les adresses IP associées au botnet proviennent du Brésil

L'équipe Qianxin Xlabs a réussi à détourner deux domaines de serveur utilisés pour la commande et le contrôle du botnet. En sept jours d'observation, les analystes ont découvert que le réseau compte jusqu'à 170 000 appareils par jour, pendant les périodes de pointe. Ils ont également enregistré l’utilisation de 1,3 million d’adresses IP associées au botnet.

São Paulo concentre la plus grande activité du réseau au Brésil (Image : Reproduction/Qianxin Labs)

Les experts en cybersécurité affirment que la majorité des boîtiers TV et des adresses IP trouvés proviennent du Brésil. Ils ont même réussi à se faire une idée de la répartition géographique du réseau dans le pays : São Paulo est l'État avec le plus d'appareils infectés, suivi de Rio de Janeiro. La carte comprend également Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná et Santa Catarina.

L'entreprise de cybersécurité affirme également avoir trouvé des liens permettant de télécharger le malware infecté sur une chaîne YouTube et sur le site Internet d'un fabricant espagnol. Qianxin Xlabs affirme avoir plus de détails, mais préfère ne pas les divulguer.

Avec informations : Qianxin Xlabs, Bleeping Computer

Le botnet infecte 170 000 téléviseurs et a une activité intense au Brésil