Los investigadores de Netlab han descubierto una nueva botnet que reutiliza el marco Mirai para atraer dispositivos Android vulnerables a ataques DDoS .

La nueva botnet, que se llama Matryosh, lleva el nombre de las muñecas de anidación rusas porque el algoritmo de cifrado que utiliza y el proceso de obtención de comando y control (C2) están anidados en capas. La botnet admite ataques DDoS mediante ataques tcpraw, icmpecho y udpplain.

¿Cómo se propaga Matryosh?

Como otras botnets anteriores, Matryosh se propaga a través de Android Debug Bridge (ADB) , una interfaz de diagnóstico y depuración que usa el puerto 5555. Si bien ADB tiene un uso genuino para los desarrolladores, un ADB orientado a Internet también abre el camino para ataques remotos.

Desafortunadamente, algunos proveedores están enviando dispositivos Android con el puerto 5555 abierto. Esto permite a los desarrolladores comunicarse con dispositivos de forma remota para controlar un dispositivo y ejecutar comandos, que generalmente se utilizan con fines de diagnóstico y depuración. Pero también crea una puerta trasera para cualquier otro atacante que se conecte a este puerto.

Puente de depuración de Android

ADB es una herramienta de línea de comandos versátil que le permite comunicarse con un dispositivo Android y facilita una variedad de acciones del dispositivo, como instalar y depurar aplicaciones. También proporciona acceso a un shell que puede usar para ejecutar una variedad de comandos en un dispositivo.

Aunque Android se conoce comúnmente como un sistema operativo popular para teléfonos, también se usa como sistema operativo para cualquier cantidad de «Cosas» conectadas a Internet, como bicicletas estáticas y televisores.

Para completar el desastre potencial, ADB no requiere autenticación, lo que significa que cualquiera puede conectarse a un dispositivo que ejecute ADB para ejecutar comandos. En resumen, con ADB habilitado, cualquiera puede conectarse de forma remota al dispositivo como root.

¿Cómo funciona Matryosh?

Matryosh es especial porque utiliza la red Tor cifrada para enmascarar su tráfico malicioso. Cuando Matryosh se ejecuta en un dispositivo infectado, descifra un nombre de host remoto y utiliza solicitudes TXT de DNS para obtener el servidor Tor C2 y los detalles del proxy. Después de eso, Matryosh usa esos detalles para establecer una conexión con el servidor C2, a través del proxy Tor, para obtener sus comandos.

Para realizar los ataques DDoS, la botnet admite ataques tcpraw, icmpecho y udpplain. Esto significa que puede lanzar ataques DDoS a través de protocolos como TCP, ICMP y UDP.

Cómo deshabilitar ADB

Aunque ADB está desactivado de forma predeterminada en la mayoría de los teléfonos inteligentes y tabletas Android, algunos proveedores envían sus dispositivos con ADB habilitado.

• Usuarios de Android: es difícil proporcionar instrucciones claras que funcionen para todos los dispositivos, pero en general, debe deshabilitar las «Opciones de desarrollador» del dispositivo. En el cliente Malwarebytes para Android hay una función de auditoría de seguridad que indica si el modo Desarrollador está habilitado, dónde se encuentra ADB, pero no señala específicamente que ADB está encendido o apagado. Si el modo de desarrollador está habilitado, la auditoría lo señalará y un usuario puede acceder al modo de desarrollador tocando el modo de desarrollo en los resultados de la auditoría, que se mostrarán en amarillo. Cuando el modo de desarrollador está desactivado, ADB también debería estar desactivado.

• Las empresas deben escanear sus redes internas y externas para el puerto 5555 para ver si algún dispositivo está escuchando en ese puerto, lo que podría ser una indicación de que los dispositivos están abiertos para recibir comandos ADB. Tampoco estaría de más leer nuestra entrada de blog. Los ataques DDoS están creciendo: ¿Qué pueden hacer las empresas?
• Los proveedores deben dejar de enviar productos con Android Debug Bridge habilitado a través de una red, especialmente aquellos dispositivos que están diseñados para conectarse a Internet