Criminelen misbruiken Androidtelefoons in een nieuw botnet gericht op DDoS-aanvallen.
Beveiligingsonderzoekers van 360 Netlab hebben een nieuw botnet in het wild ontdekt. Ze noemen het malafide netwerk Matryosh. Matryosh gebruikt hetzelfde framework als het gekende Mirai-botnet maar bouwt daarop verder. De voornaamste toevoeging langs technische kant is een vernieuwd encryptie-algoritme. De malware praat bovendien met de command & control-servers via TOR-proxy’s. De extra veiligheidsmaatregelen deden de onderzoekers aan een Russische matroesjka-pop denken, wat de naam verklaart.
Matryosh onderscheid zich verder van andere botnet-malware door de focus op Android-telefoons. Specifiek misbruikt het botnet de Android Debog Bridge-interface (ADB). Die interface laat ontwikkelaars toe om rechtstreeks met toestellen te communiceren. In principe schakelen verkopers ADB standaard uit voor toestellen in de rekken, maar niet iedere fabrikant volgt die regel even nauwgezet. Wanneer ADB ingeschakeld is, kunnen aanvallers TCP-poort 5555 misbruiken.
Niet het eerste ADB-probleem
Die kwetsbaarheid is niet nieuw. Al in 2016 misbruikte het Satori-botnet toestellen met ADB ingeschakeld. Gelukkig is de kwetsbaarheid voor een groot stuk gemitigeerd, zeker bij toestellen die Android 9 of hoger draaien. Daar zorgt geavanceerder device management ervoor dat het ADB-probleem indien nodig wordt uitgeschakeld.
Netlab 360 vermoedt dat de Moobot-groep achter de aanval zit. Die is de laatste tijd erg actief en lanceerde in april van vorig jaar a een nieuw botnet dat erg veel gelijkenissen heeft met Matryosh. Wat veiligheid betreft is het vooral belangrijk voor fabrikanten om ABD standaard uit te schakelen. Als gebruiker koop je dan weer best toestellen van betrouwbare fabrikanten met een zoveel mogelijk up to date-versie van Android aan boord.