Die neue Botnet XLabs_V1, eine Variante des bekannten Mirai, nutzt den Android-Debug-Port (ADB) aus, um die Kontrolle über IoT-Geräte zu übernehmen. Es scannt IP-Adressen nach offenen Port 5555, der häufig bei Smart-TVs, Set-Top-Boxen und Routern mit versehentlich aktiviertem ADB zu finden ist. Einmal eingedrungen, rekrutiert es sie, um verteilte Denial-of-Service-Angriffe (DDoS) zu starten. Das Problem ist nicht neu, aber der Maßstab schon. 🔥
Wie die Malware auf technischer Ebene operiert ⚙️
XLabs_V1 verwendet ein Massenscan-Modul, um exponierte Ports 5555 zu erkennen. Wenn es sie findet, versucht es, sich mit Standard-ADB-Anmeldeinformationen wie root oder shell zu authentifizieren. Bei erfolgreichem Zugriff lädt es eine schädliche Binärdatei herunter, die mit erhöhten Privilegien ausgeführt wird. Diese Binärdatei blockiert andere Prozesse, ändert iptables-Regeln zur Persistenz und verbindet sich mit einem C2-Server. Von dort erhält sie Befehle, um Ziele mit TCP-, UDP- oder HTTP-Datenverkehr zu überfluten. Die Infektion ist leise und hinterlässt keine sichtbaren Spuren in der Benutzeroberfläche.
Das Botnet, das die Drecksarbeit für dich erledigt, ohne zu fragen 😈
Das Lustige an der Sache ist, dass die Besitzer dieser Geräte nichts davon mitbekommen. Ihr Smart-TV, den sie kaum für Netflix nutzen, arbeitet Überstunden als Soldat in einem Cyberkrieg. Währenddessen reibt sich der Angreifer die Hände, wenn er sieht, wie seine Armee aus Zombie-Set-Top-Boxen und Routern wächst, ohne einen Cent zu bezahlen. Wenigstens fühlen sich die Geräte einmal nützlich, auch wenn es nur dazu dient, andere zu belästigen.