В поле зрения специалистов по кибербезопасности попало интереснейшее противостояние: два ботнета, Trinity и Fbot рьяно соперничают друг с другом, атакуя Android-устройства с открытыми отладочными портами. Конкретно речь идет об уязвимости в функциональности Android Debug Bridge (ADB).
Как правило, ADB используется разработчиками для отладки и должен быть выключен по умолчанию, однако некоторые производители оставляют эти порты открытыми, а функциональность активной. Чем и пользуются зловреды. В феврале этого года, заражением через ADB занимался майнинговый ботнет ADB.Miner, в основном, специализировавшийся на «умных» телевизорах и приставках для ТВ под управлением Android.
А теперь самое главное: по умолчанию ADB вообще не использует пароль. То есть, как только устройство с открытым ADB-портом оказывается в онлайне, в него можно залезть. По данным любимого поисковика хакеров Shodan, прямо сейчас в настоящее время в сети можно обнаружить порядка 30 000-35 000 устройств с открытыми ADB-портами.
К осени 2018 года ADB.Miner превратился в новый ботнет, который специалисты называют Trinity, работает он по прежней схеме. Но осенью у него появился конкурент, Fbot, который построен на базе исходных кодов известной DDoS-малвари Satori и пока не заставляет зараженные устройства майнить, а только находится на стадии «заразить как можно больше». При этом важная составляющая его активности — уничтожение Trinity и перевербовка устройств под себя. Любопытно, будет ли включен в следующую версию Trinity аналогичный функционал уничтожения Fbot.
Читайте также другие недавние материалы от АКБ про ботнеты:
DemonBot и тысяча новых брутфорсов: новости из волшебного мира ботнетов
Вездесущим спрутам-ботнетам уже скоро не нужны будут даже серверные тела
Город на краю ночи: как атака ботнетов из умных устройств может вырубить нашему миру свет
Адвокаты предупреждают американских строителей умных домов об угрозе ботнета Hide ‘N Seek
Fortinet: Искусственный интеллект собирает ботнеты в разумные рои