Ботнет Hide and Seek нацелился на устройства под управлением Android. Об этом сообщили специалисты Bitdefender Labs, которые изучили код новой версии зловреда. По словам экспертов, в скрипт добавлен инструментарий для атаки через ADB — отладочный интерфейс мобильной операционной системы. Как показал поиск, под угрозой заражения оказались около 40 тыс. систем с открытым портом 5555.

ADB предназначен для отладки приложений и предоставляет разработчикам удаленный доступ к устройству. Интерфейс позволяет выполнять системные команды, просматривать журнал, изменять настройки и даже модифицировать прошивку мобильного телефона. Угрозу безопасности представляет возможность использовать этот канал через Wi-Fi или сетевое соединение. По умолчанию эта функция отключена, однако создатели кастомных версий ОС нередко оставляют ее активной.

Возможность атаковать системы под управлением Android может существенно увеличить размер ботнета, под контролем которого находятся уже не менее 90 тыс. зомби. По данным поискового движка Shodan десятки тысяч уязвимых устройств доступны онлайн в Китае, Тайване, Южной Корее, России и США.

Как отмечают исследователи, несмотря на быстрый рост, ботнет пока не выполняет никаких деструктивных действий на зараженном устройстве. Зловред способен удаленно запускать сторонние скрипты, однако ни разу не использовал эту возможность. Кроме того, Hide and Seek не имеет компонента для DDoS-атак, при помощи которого монетизируют свою деятельность многие криминальные группировки.

Скорее всего, на данном этапе владельцы ботнета ставят перед собой цель взять под контроль как можно большее количество устройств для организации крупных кибератак в будущем. Стоящие за Hide and Seek злоумышленники разработали эксплойты для различных типов процессоров, включая MIPS, ARM, Motorola 68020, как с x86, так и x64 архитектурой. Вредоносная сеть также использует собственную P2P-технологию для передачи информации между инфицированными системами. Ранее наличием канала peer-to-peer мог похвастаться лишь ботнет Hajime, атаковавший IoT-оборудование в 2016 году.

Ранее ИБ-специалисты уже фиксировали атаки через ADB. В феврале этого года сетевой червь на базе кода Mirai использовал отладочный интерфейс Android для распространения генератора цифровой валюты ADB.Miner. За короткий срок злоумышленникам удалось инфицировать около 10 тыс. устройств. Масштабы атаки могли быть значительно больше, если бы не ошибка в коде программы, которая ограничивала возможность заражения.

Категории: Вредоносные программы, Уязвимости