A nova botnet XLabs_V1, uma variante do conhecido Mirai, está aproveitando a porta de depuração do Android (ADB) para assumir o controle de dispositivos IoT. Ela escaneia endereços IP em busca da porta 5555 aberta, comum em smart TVs, decodificadores e roteadores com ADB habilitado por engano. Uma vez dentro, os recruta para lançar ataques de negação de serviço distribuído (DDoS). O problema não é novo, mas a escala sim. 🔥
Como o malware opera na camada técnica ⚙️
XLabs_V1 utiliza um módulo de escaneamento em massa para detectar portas 5555 expostas. Ao encontrá-las, tenta autenticar-se usando credenciais padrão do ADB, como root ou shell. Se conseguir acesso, baixa um binário malicioso que é executado com privilégios elevados. Esse binário bloqueia outros processos, modifica as regras de iptables para persistir e se conecta a um servidor C2. A partir daí, recebe ordens para saturar alvos com tráfego TCP, UDP ou HTTP. A infecção é silenciosa e não deixa rastros visíveis na interface do usuário.
A botnet que faz o trabalho sujo para você sem perguntar 😈
O mais engraçado da história é que os donos desses dispositivos nem ficam sabendo. Sua smart TV, que mal usam para ver Netflix, está trabalhando horas extras como soldado de uma guerra cibernética. Enquanto isso, o atacante esfrega as mãos vendo como seu exército de decodificadores e roteadores zumbi cresce sem pagar um centavo. Pelo menos os dispositivos se sentem úteis pela primeira vez, mesmo que seja para incomodar os outros.