La nuova botnet XLabs_V1, una variante del noto Mirai, sta sfruttando la porta di debug di Android (ADB) per prendere il controllo di dispositivi IoT. Scansiona indirizzi IP alla ricerca della porta 5555 aperta, comune in smart TV, decoder e router con ADB abilitato per errore. Una volta dentro, li recluta per lanciare attacchi di denial of service distribuito (DDoS). Il problema non è nuovo, ma la scala sì. 🔥
Come opera il malware a livello tecnico ⚙️
XLabs_V1 utilizza un modulo di scansione massiva per rilevare porte 5555 esposte. Quando le trova, tenta di autenticarsi tramite credenziali predefinite di ADB, come root o shell. Se riesce ad accedere, scarica un binario malevolo che viene eseguito con privilegi elevati. Questo binario blocca altri processi, modifica le regole di iptables per persistere e si connette a un server C2. Da lì, riceve ordini per saturare obiettivi con traffico TCP, UDP o HTTP. L'infezione è silenziosa e non lascia tracce visibili nell'interfaccia utente.
La botnet che ti fa il lavoro sporco senza chiedere 😈
La parte più divertente è che i proprietari di questi dispositivi non se ne accorgono nemmeno. La loro smart TV, che usano a malapena per guardare Netflix, sta facendo straordinari come soldato di una guerra cibernetica. Nel frattempo, l'attaccante si frega le mani vedendo come il suo esercito di decoder e router zombie cresce senza spendere un centesimo. Almeno i dispositivi si sentono utili per una volta, anche se solo per infastidire gli altri.