Новая бот-сеть XLabs_V1, вариант известного Mirai, использует порт отладки Android (ADB) для захвата контроля над устройствами IoT. Она сканирует IP-адреса в поисках открытого порта 5555, который часто встречается на умных телевизорах, приставках и роутерах с ошибочно включенным ADB. Попав внутрь, она вербует их для запуска атак типа «отказ в обслуживании» (DDoS). Проблема не нова, но масштаб — да. 🔥
Как работает вредоносное ПО на техническом уровне ⚙️
XLabs_V1 использует модуль массового сканирования для обнаружения открытых портов 5555. При их обнаружении он пытается аутентифицироваться с помощью стандартных учетных данных ADB, таких как root или shell. Если доступ получен, загружается вредоносный бинарный файл, который выполняется с повышенными привилегиями. Этот бинарник блокирует другие процессы, изменяет правила iptables для сохранения и подключается к C2-серверу. Оттуда он получает команды на перегрузку целей трафиком TCP, UDP или HTTP. Заражение происходит незаметно и не оставляет видимых следов в интерфейсе пользователя.
Ботнет, который делает за вас грязную работу без спроса 😈
Самое забавное в этом деле — владельцы этих устройств даже не догадываются. Их умный телевизор, который они едва используют для просмотра Netflix, работает сверхурочно как солдат кибервойны. Тем временем атакующий потирает руки, наблюдая, как его армия приставок и роутеров-зомби растет, не тратя ни копейки. По крайней мере, устройства чувствуют себя полезными хоть раз, пусть даже для того, чтобы досаждать другим.