Le nouveau botnet XLabs_V1, une variante du célèbre Mirai, exploite le port de débogage Android (ADB) pour prendre le contrôle des appareils IoT. Il scanne les adresses IP à la recherche du port 5555 ouvert, courant sur les téléviseurs intelligents, les décodeurs et les routeurs dont l'ADB est activé par erreur. Une fois à l'intérieur, il les recrute pour lancer des attaques par déni de service distribué (DDoS). Le problème n'est pas nouveau, mais l'ampleur, si. 🔥
Comment le malware opère au niveau technique ⚙️
XLabs_V1 utilise un module de balayage massif pour détecter les ports 5555 exposés. Lorsqu'il les trouve, il tente de s'authentifier via des identifiants par défaut d'ADB, comme root ou shell. S'il parvient à accéder, il télécharge un binaire malveillant qui s'exécute avec des privilèges élevés. Ce binaire bloque d'autres processus, modifie les règles iptables pour persister et se connecte à un serveur C2. De là, il reçoit des ordres pour saturer des cibles avec du trafic TCP, UDP ou HTTP. L'infection est silencieuse et ne laisse aucune trace visible dans l'interface utilisateur.
Le botnet qui fait le sale boulot à votre place sans demander 😈
Le plus drôle dans l'histoire, c'est que les propriétaires de ces appareils ne s'en rendent même pas compte. Leur téléviseur intelligent, qu'ils utilisent à peine pour regarder Netflix, travaille des heures supplémentaires comme soldat dans une guerre cybernétique. Pendant ce temps, l'attaquant se frotte les mains en voyant son armée de décodeurs et de routeurs zombies grandir sans dépenser un sou. Au moins, les appareils se sentent utiles pour une fois, même si c'est pour embêter les autres.