Matryosh è la nuova botnet che prende di mira dispositivi Android

Netlab, divisione specializzata in attività e ricerca di sicurezza di rete facente parte della società cinese Qihioo 360, ha reso noto di aver scoperto una nuova operazione che sta attualmente infettando dispositivi Android allo scopo di assemblare una botnet da impiegare per eventuali attacchi DDoS. La botnet è stata battezzata Matryosh.

I ricercatori spiegano che la botnet sta attualmente "arruolando" dispositivi effettuando una scansione della rete per individuare quelli in cui è presente un'interfaccia di diagnostica e debug, Android Debug Bridge, abilitata ed esposta su Internet tramite la porta 5555.

Si tratta di un'interfaccia già nota al mondo della sicurezza, poiché spesso fonte di problemi non solamente per gli smartphone ma anche per altri dispositivi che fanno uso del sistema operativo Android come smart TV, set-top-box e dispositivi smarthome in generale: molte famiglie di malware l'hanno infatti sfruttata in passato per compromettere dispositivi e installare pacchetti dannosi.

Matryosh è quindi solamente l'ultima minaccia di una lunga serie che sfrutta ADB, e che tuttavia ha una sua propria peculiarità: l'utilizzo della rete Tor per offuscare i server command&control, oltre all'uso di un processo a più livelli per ricostruire l'indirizzo del server stesso. E' da questo meccanismo che trae il nome, ispirato quindi alla tradizionale matrioska russa.

Le analisi di Netlab hanno poi evidenziato come la botnet Matryosh contenga alcuni elementi che sembrano riconducibili alle botnet Moobot del 2019 e LeetHozer del 2020, suggerendo quindi che la mano dietro a tutte e tre le botnet sia la medesima. Anche Moobot e LeetHozer, come pare Matryosh, sono state architettate e usate per lanciare attacchi DDoS.

Al pari di quanto già accaduto in precedenza con episodi simili che hanno avuto come "protagonista" la funzione Android Debug Bridge purtroppo l'utente finale non dispone di particolari contromisure che possa mettere in atto per mitigare il problema. Per quanto riguarda gli smartphone esiste la possibilità di disabilitare la funzione ADB tramite un'impostazione nelle opzioni del sistema operativo, ma questa possibilità è per lo più preclusa su altri tipi di dispositivi.

La conseguenza è che molti dispositivi continueranno a restare vulnerabili anche nel futuro, lasciando aperta la possibilità di costruire botnet che possono essere utilizzate non solo per attacchi DDoS ma anche per altre attività come reindirizzamenti DNS e mining occulto di criptovalute.