Siga-nos nas Redes Sociais

Imprensa

Botnet infecta 170 mil TV boxes e tem atividade intensa no Brasil

Avatar photo

Publicado

2 anos atrás

em

Imagem: Freepik

Grupo conhecido como Bigpanzi infecta TV boxes para usá-las em distribuição de streaming ilegal, redirecionamento de tráfego e ataques DDoS

 

Fonte: Tecnoblog 

Um grupo cibercriminoso chamado Bigpanzi comanda uma rede de TV boxes infectadas, que chega a contar com 170 mil dispositivos ativos diariamente. A maioria das máquinas roda Android TV, e a botnet tem atividade intensa no Brasil: mais de 1,3 milhão de endereços IPs associados à rede foram registrados desde agosto.

As informações são do laboratório Qianxin Xlabs, que tem sede em Pequim (China). Botnet é o nome dado a uma rede de aparelhos infectados, que passam a ser controlados por um grupo ou entidade.

A rede da Bigpanzi é usada por plataformas de streaming ilegal, redes de redirecionamento de tráfego e ataques de negação de serviço (DDoS, na sigla em inglês). Assim, os cibercriminosos conseguem ganhar dinheiro com os aparelhos infectados.

Segundo os pesquisadores, o Bigpanzi engana os usuários para que eles instalem apps ou atualizações com backdoors. O grupo usa dois malwares para ganhar acesso aos dispositivos. O “pandoraspear” é um trojan que sequestra as configurações de DNS, conectando o aparelho a uma rede de comando e controle. Já o “pcdn” cria uma rede peer-to-peer (P2P) para distribuição de conteúdo com os outros aparelhos infectados, que pode ser usada em ataques DDoS.

IPs associados à botnet são do Brasil

A equipe da Qianxin Xlabs conseguiu sequestrar dois domínios de servidores usados para comando e controle da botnet. Ao longo de sete dias de observação, os analistas descobriram que a rede chega a ter 170 mil aparelhos diariamente, nos períodos de pico. Eles também registraram o uso de 1,3 milhão de IPs associados à botnet.

Os especialistas em cibersegurança dizem que a maioria das TV boxes e dos IPs encontrados é do Brasil. Eles conseguiram até mesmo um retrato da distribuição geográfica da rede no país: São Paulo é o estado com mais aparelhos infectados, seguido pelo Rio de Janeiro. Também constam no mapa Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná e Santa Catarina.

A empresa de cibersegurança também conta ter encontrado links para download do malware infectado em um canal de YouTube e no site de uma fabricante espanhola. A Qianxin Xlabs afirma ter mais detalhes, mas prefere não divulgá-los.

Tópicos Relacionados:
Avatar photo

O blog “Sou Legal” foi criado para informar e discutir os riscos e impactos do acesso ilegal aos canais de TV por assinatura.

Continuar Lendo

Eventos

O futuro da TV está em debate!

Avatar photo

Publicado

1 mês atrás

em

14/07/2025

Por

Nos dias 13 e 14 de agosto, acontece a 8ª edição do +TV FORUM, o encontro essencial para quem atua no ecossistema de conteúdos por assinatura, plataformas OTT e distribuição multiplataforma.

Evento presencial
WTC Events Center | São Paulo, SP

Serão dois dias de discussões de alto nível sobre as transformações do setor, novos modelos de negócio, desafios tecnológicos e institucionais — tudo com foco no posicionamento de canais, programadores e operadores.

Não fique de fora

Fonte e imagem: Teletime

Continuar Lendo

Antipirataria

BadBox 2.0: mais de 370 mil TV boxes foram infectadas no Brasil e usadas em fraudes, diz relatório

Avatar photo

Publicado

5 meses atrás

em

20/03/2025

Por

 

Empresa de cibersegurança Human Security identificou que o país foi o mais afetado por esquema que tinha TV boxes irregulares como alvos.

Fonte: G1

As TV boxes irregulares, isto é, que não têm certificação da Agência Nacional de Telecomunicações (Anatel), costumam ter preço e acesso livre a canais como atrativos, mas podem expor usuários a fraudes.

É o caso do BadBox 2.0, esquema revelado no início de março em que cibercriminosos usaram vários desses aparelhos, além de alguns tablets e projetores, para lucrar com anúncios e ataques a outros dispositivos.

Mais de 1 milhão de aparelhos foram infectados, sendo 370 mil no Brasil, segundo a consultoria em cibersegurança Human Security, que investigou o caso.

O BadBox 2.0 é uma versão repaginada do BadBox, esquema que tinha sido descoberto em 2023 e afetava somente 74 mil aparelhos. Agora, ele atingiu outra proporção e virou a maior botnet de TV boxes já identificada, segundo a Human Security.

Ainda de acordo com a empresa, o esquema funciona assim:

  1. Os aparelhos são infectados por diferentes métodos (ainda na fábrica, na primeira inicialização ou por aplicativos baixados pelos usuários);
  2. O arquivo mal-intencionado faz os aparelhos se comunicarem com um servidor externo que recebe permissão para controlar o sistema;
  3. Golpistas faturam com a exibição fraudulenta de anúncios e com o “aluguel” do dispositivo para disfarçar a origem de outros ataques.

 

Como os golpistas ganharam dinheiro

 

Para lucrar com propaganda, os golpistas usaram diferentes estratégias: anúncios escondidos em segundo plano, em uma janela abaixo do aplicativo principal, e a tomada do dispositivo para forçar cliques em anúncios de sites que eram parte do esquema.

Ambas usaram um modelo muito conhecido na internet, em que empresas pagam por visualizações e interações em seus anúncios. Nesse caso, os cibercriminosos burlavam as regras para fazer parecer que as propagandas estavam sendo vistas por usuários reais.

Os golpistas também usaram os aparelhos infectados para intermediar o acesso de outras pessoas à internet. Esse é um serviço conhecido como “proxy residencial” e que envolve um pagamento para permitir a navegação pelo IP desses dispositivos afetados.

O IP é um código de identificação dos aparelhos na internet. Ao “alugar” o IP de outro aparelho, um usuário pode maquiar a sua navegação para roubar contas, realizar ataques coordenados e disparar arquivos maliciosos, por exemplo.

“É todo um ecossistema fraudulento, que é bastante substancial e realmente mostra essa sofisticação maior”, disse ao g1 Lindsay Kaye, vice-presidente de Inteligência de Ameaças da Human Security.

Como as TV boxes são afetadas

 

Os aparelhos infectados usam uma versão aberta do Android, que pode ser alterada livremente por terceiros e, por isso, não tem a proteção do Google.

Segundo a Human Security, o Google contribuiu com a investigação e derrubou as contas usadas pelos cibercriminosos em suas plataformas de anúncios para impedi-los de lucrar com anúncios.

A invasão do aparelho é praticamente imperceptível e difícil de ser identificada, mas é possível que o aparelho tenha o funcionamento afetado.

“No disparo de um ataque, o dispositivo é usado como parte da ação. Nesse momento, certamente, vai ter algum problema de desempenho”, explicou Flávio Silva, diretor de Tecnologia da Trend Micro no Brasil. A empresa também colaborou com a investigação.

No momento, os pesquisadores ainda não encontraram uma forma de orientar usuários a verificar se o aparelho foi comprometido pelo BadBox 2.0 ou de corrigir o problema.

“Se o dispositivo está se comportando de forma estranha ou você está preocupado, a coisa mais segura a se fazer é se livrar dele e obter um dispositivo certificado”, explicou Lindsay, da Human Security.

A recomendação é comprar apenas TV boxes autorizadas pela Anatel, que verifica, entre outros itens, a segurança contra possíveis ataques. A agência oferece uma lista de TV boxes certificadas neste link.

“Estar homologado não significa estar livre de sofrer algum tipo de ataque”, disse Flávio, da Trend Micro. “Mas uma vez identificado que esses dispositivos estão vulneráveis, o fabricante solta uma atualização que impede que ele seja utilizado por um cibercriminoso”.

Continuar Lendo

Trending