Netlab, подразделение по сетевой безопасности китайской компании Qihoo 360, обнаружило малварь, которая заражает устройства Android, чтобы объединить их в ботнет для DDoS-атак.
Ботнет называется Matryosh. Он отслеживает устройства Android, в которых включен интерфейс Android Debug Bridge. Этот интерфейс известен своими проблемами для устройств на базе Android.
За последние несколько лет такие малвари, как ADB.Miner, Ares, IPStorm, Fbot и Trinity сканировали интернет на предмет наличия устройств на базе Android с активным ADB-интерфейсом, подключенных к уязвимым системам. Они скачивали и устанавливали вредоносную полезную нагрузку на них.
Netlab сообщает, что Matryosh имеет свои особенности. Эта особенность связана с использованием сети Tor для того, чтобы скрыть свои серверы и использовать многоуровневый процесс получения адреса серверов.
Исследователи Netlab полагают, что ботнет содержит несколько подсказок. Они указывают на то, что его создала группировка, которая разработала ботнет Moobot в 2019 и ботнет LeetHozer в 2020. Оба ботнета использовали для DDoS-атак, что также является задачей Matryosh.
К сожалению, пользователи мало что могут сделать, чтобы препятствовать атакам. Пользователи смартфонов могут просто отключить интерфейс ADB в настройках, но для других устройств на базе Android такая функция не предусмотрена, поэтому они останутся уязвимыми.
