Na zariadenia so systémom Android sa zamerala nová kampaň distribuovaného odmietnutia služby, tzv. DDoS. Na botnet s názvom Matryosh upozornila výskumná skupina Netlab čínskej spoločnosti Qihoo 360.
Malvér sa šíri prostredníctvom komunikačných rozhraní Android Debug Bridge (ADB). Ide o nástroj príkazového riadku, ktorý je súčasťou Android SDK a má za úlohu umožniť developerom inštalovať do zariadení ladenie aplikácií.
Zatiaľ čo tento nástroj je vo väčšine smartfónov a tabletov so systémom Android predvolene vypnutý, niektorí dodávatelia pracujú s touto funkciou v zapnutom režime. Potenciálni útočníci sa tak pomocou TCP portu 5555 môžu do týchto zariadení pripojiť a zneužiť ich.
Maskovacia taktika botnetu
Zneužitie nástroja ADB botnetom nie je v hackerskom svete nijakou novinkou. V júli 2018 sa skrz ADB porty šírili varianty Satori botnetu, o rok neskôr pracoval na tom istom princípe nový botnet zameraný na ťažbu kryptomeny.
Matryosh sa od týchto prípadov líši svojím maskovaním a schopnosťou získavať príkazy zo servera ovládaného útočníkom. Algoritmus botnetu má štruktúru Tor vrstiev, čo výskumníkom Netlabu pripomínalo ruskú bábiku Matriošku – z toho pochádza jeho pomenovanie.
V praxi Matryosh najskôr dešifruje pomenovanie vzdialeného hostiteľa, prostredníctvom DNS textového záznamu získa proxy TOR, s ktorým nadviaže spojenie prostredníctvom ktorého komunikuje so serverom TOR C2.
Zdroj: 360 Netlab
Môže zaň stará známa firma?
Podľa expertov Netlabu existujú veľké zhody medzi Matryosh a botnetom LeetHozer, ktorý vyvinula skupina Mootbot. Ide predovšetkým o formát príkazov či využitie TOR C2, obe hrozby sú taktiež založené na starom type botnetu Mirai.
Odborníci ako ochranu pre týmto škodcom odporúčajú riešenia na ochranu pred mobilnými hrozbami. Tie dokážu upozorniť na zapnuté ADB, nadmerné zaťaženie či prítomnosť škodlivého kódu.
Jana Tuhrinová