Matryosh è la nuova botnet che prende di mira dispositivi Android

Matryosh è la nuova botnet che prende di mira dispositivi Android

Effettua uno scan della rete per arruolare nuovi dispositivi da usare per attacchi DDoS, cercando interfacce Android Debug Bridge sulla porta 5555

di pubblicata il , alle 17:01 nel canale Sicurezza
Android
 

Netlab, divisione specializzata in attività e ricerca di sicurezza di rete facente parte della società cinese Qihioo 360, ha reso noto di aver scoperto una nuova operazione che sta attualmente infettando dispositivi Android allo scopo di assemblare una botnet da impiegare per eventuali attacchi DDoS. La botnet è stata battezzata Matryosh.

I ricercatori spiegano che la botnet sta attualmente "arruolando" dispositivi effettuando una scansione della rete per individuare quelli in cui è presente un'interfaccia di diagnostica e debug, Android Debug Bridge, abilitata ed esposta su Internet tramite la porta 5555.

Si tratta di un'interfaccia già nota al mondo della sicurezza, poiché spesso fonte di problemi non solamente per gli smartphone ma anche per altri dispositivi che fanno uso del sistema operativo Android come smart TV, set-top-box e dispositivi smarthome in generale: molte famiglie di malware l'hanno infatti sfruttata in passato per compromettere dispositivi e installare pacchetti dannosi.

Matryosh è quindi solamente l'ultima minaccia di una lunga serie che sfrutta ADB, e che tuttavia ha una sua propria peculiarità: l'utilizzo della rete Tor per offuscare i server command&control, oltre all'uso di un processo a più livelli per ricostruire l'indirizzo del server stesso. E' da questo meccanismo che trae il nome, ispirato quindi alla tradizionale matrioska russa.

Le analisi di Netlab hanno poi evidenziato come la botnet Matryosh contenga alcuni elementi che sembrano riconducibili alle botnet Moobot del 2019 e LeetHozer del 2020, suggerendo quindi che la mano dietro a tutte e tre le botnet sia la medesima. Anche Moobot e LeetHozer, come pare Matryosh, sono state architettate e usate per lanciare attacchi DDoS.

Al pari di quanto già accaduto in precedenza con episodi simili che hanno avuto come "protagonista" la funzione Android Debug Bridge purtroppo l'utente finale non dispone di particolari contromisure che possa mettere in atto per mitigare il problema. Per quanto riguarda gli smartphone esiste la possibilità di disabilitare la funzione ADB tramite un'impostazione nelle opzioni del sistema operativo, ma questa possibilità è per lo più preclusa su altri tipi di dispositivi.

La conseguenza è che molti dispositivi continueranno a restare vulnerabili anche nel futuro, lasciando aperta la possibilità di costruire botnet che possono essere utilizzate non solo per attacchi DDoS ma anche per altre attività come reindirizzamenti DNS e mining occulto di criptovalute.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium04 Febbraio 2021, 17:19 #1
io sapevo che adb è disattivato di default, infatti per moddare devi abilitarlo a mano..
Phoenix Fire04 Febbraio 2021, 17:57 #2
Originariamente inviato da: Opteranium
io sapevo che adb è disattivato di default, infatti per moddare devi abilitarlo a mano..


ho scarsi ricordi, ma mi pare che in alcune cineaste fosse abilitata di default (non nella maggioranza di smartphone/prodotti)
Sandro kensan04 Febbraio 2021, 21:24 #3
Io penso che se ci sono botnet di telefonini android allora il passo è molto corto per utilizzare gli stessi telefonini per metterci malware che facciano altro. TRovo quindi sia estremamente pericoloso chi ha la banca sul proprio smartphone pensando che sia sicuro. Quando sono entrati abbastanza dentro lo smartphone possono rubarmi il conto corrente e fare bonifici a loro piacimento. Per me è quindi assurdo avere l'app della banca.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^