la nuova botnet DDoS Matryosh
Buongiorno cari lettori, la nuova botnet DDoS Matryosh colpisce i dispositivi Android.
I ricercatori Netlab della società di sicurezza cinese Qihoo 360 hanno scoperto una nuova campagna che prende di mira i dispositivi Android cooptandoli in una botnet con il solo scopo di effettuare attacchi DDoS (distributed denial of service).
Netlab è la divisione di sicurezza di rete di Qihoo 360. Il malware nascente è stato soprannominato Matryosh, e la campagna è stata scoperta questa settimana. Attualmente colpisce solo i dispositivi Android.
"Matryosh non ha alcuna scansione integrata, moduli di sfruttamento delle vulnerabilità, la funzione principale è l'attacco DDoS, supporta attacchi tcpraw, icmpecho, udpplain", hanno scritto i ricercatori di Netlab.
Matryosh riutilizza la struttura di Mirai Botney
Secondo i ricercatori di Netlab, Matryosh DDoS botnet riutilizza la struttura botnet Mirai. Si propaga attraverso le interfacce ADB (Android Debug Bridge) esposte per infettare e irretire i dispositivi Android per allargare il suo esercito di botnet.
Vale la pena notare che ADB è uno strumento a riga di comando dell'SDK di Android. È responsabile della gestione delle comunicazioni e permette agli sviluppatori di installare ed eseguire il debug delle applicazioni sui dispositivi Android. Questa opzione di default è disabilitata nella maggior parte degli smartphone e dei tablet.
Tuttavia, alcuni venditori spediscono i telefoni con questa funzione attivata. A causa di questo, gli aggressori non autorizzati possono connettersi in remoto al dispositivo attraverso la porta TCP 5555 e sfruttarlo.
Matryosh utilizza la rete Tor per nascondere il server C&C
Matryosh è una botnet unica in quanto utilizza la rete Tor per nascondere i suoi server di comando e controllo. Inoltre, utilizza un processo a più livelli per ottenere l'indirizzo del server. Questo è il motivo per cui si chiama Matryosh, che si ispira alle tradizionali bambole russe matryoshka.
Nel 2019 è stato trovato anche un malware con un nome simile (PirateMatryoshka) che prende di mira gli utenti su The Pirate Bay.
Somiglianze tra Matryosh, Moobot e LeetHozer
I ricercatori sospettano che questa botnet potrebbe essere opera dello stesso gruppo che ha creato la botnet Moobot nel 2019 e LeetHozer nel 2020. Diversi indizi rivelano somiglianze tra queste tre botnet. Per esempio, sono essenzialmente creati e utilizzati per lanciare attacchi DDoS.
Inoltre, il team di ricerca Netlab ha trovato funzioni nel codice che hanno un impatto su quelle caratteristiche che possono utilizzare i dispositivi infetti per lanciare attacchi DDoS attraverso i protocolli UDP, TCP e ICMP.
Attenzione: la nuova botnet DDoS Matryosh colpisce i dispositivi Android
Puoi proteggere il tuo dispositivo?
Potrebbe sembrare che disabilitare la funzione ADB nello smartphone possa risolvere il problema. Ma purtroppo, il problema è più grande di quanto si pensi perché, nella maggior parte dei dispositivi Android, tale opzione non è disponibile.
Pertanto, molti sistemi potrebbero rimanere vulnerabili allo sfruttamento attraverso il crypto-mining, l'hijacking DNS e gli ovvi attacchi DDoS.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
