IoT-ботнет Ares заражает Android-приставки производства HiSilicon, Cubetek и QezyMedia

Рекомендуем почитать:

Xakep #244. Атаки по сторонним каналам

• Содержание выпуска
• Подписка на «Хакер»

Специалисты компании WootCloud обнаружили IoT-ботнет Ares, который в основном атакует Android-приставки производства HiSilicon, Cubetek и QezyMedia. Малварь не использует каких-либо уязвимостей, но заражает устройства, доступные посредством отладочных портов Android Debug Bridge (ADB).

Хотя по умолчанию ADB отключен на большинстве устройств, некоторые гаджеты все же поставляются с включенным ADB (чаще всего на порту 5555). В итоге не прошедшие аутентификацию злоумышленники получают возможность удаленно подключиться к уязвимому устройству и получить доступ к командной оболочке ADB, которая обычно используется для установки и отладки приложений.

Ares далеко не первый ботнет, использующий данную тактику (1, 2), а также далеко не первый ботнет, построенный на базе известного IoT-вредоноса Mirai. Но в настоящее время Ares считается одним из наиболее активных Mirai-ботнетов.

Top 5 𝗠𝗶𝗿𝗮𝗶-𝗹𝗶𝗸𝗲 #IoT #malware branches seen in 𝗝𝘂𝗹𝘆 (by unique IP):
1. ARES 11,5%
2. Ex0 8%
3. naya 7%
4. Zehir 5,6%
5. APEP 5,6%#IoTSecurity #botnet

— Przem (@przemfer) August 1, 2019

Хотя Ares определенно пытается заражать любые доступные через ADB девайсы, по данным WootCloud, сейчас ботнет состоит в основном из вышеупомянутых Android-приставок (но, по мнению исследователей, это может в любой момент измениться). Пока скомпрометированные устройства используются лишь для поиска и заражения новых хостов, и конечная цель операторов малвари неизвестна.

Эксперты пишут, что построенная на базе Mirai угроза способна проксировать трафик, а также может использоваться для проведения DDoS-атак. Однако уязвимые Android-устройства в корпоративных средах могут стать отличным плацдармом для хакеров и могут использоваться злоумышленниками, как точки проникновения в корпоративные сети.

Источник