Специалисты компании WootCloud обнаружили IoT-ботнет Ares, который в основном атакует Android-приставки производства HiSilicon, Cubetek и QezyMedia. Малварь не использует каких-либо уязвимостей, но заражает устройства, доступные посредством отладочных портов Android Debug Bridge (ADB).

Хотя по умолчанию ADB отключен на большинстве устройств, некоторые гаджеты все же поставляются с включенным ADB (чаще всего на порту 5555). В итоге не прошедшие аутентификацию злоумышленники получают возможность удаленно подключиться к уязвимому устройству и получить доступ к командной оболочке ADB, которая обычно используется для установки и отладки приложений.

Ares далеко не первый ботнет, использующий данную тактику (1, 2), а также далеко не первый ботнет, построенный на базе известного IoT-вредоноса Mirai. Но в настоящее время Ares считается одним из наиболее активных Mirai-ботнетов.

Хотя Ares определенно пытается заражать любые доступные через ADB девайсы, по данным WootCloud, сейчас ботнет состоит в основном из вышеупомянутых Android-приставок (но, по мнению исследователей, это может в любой момент измениться). Пока скомпрометированные устройства используются лишь для поиска и заражения новых хостов, и конечная цель операторов малвари неизвестна.

Эксперты пишут, что построенная на базе Mirai угроза способна проксировать трафик, а также может использоваться для проведения DDoS-атак. Однако уязвимые Android-устройства в корпоративных средах могут стать отличным плацдармом для хакеров и могут использоваться злоумышленниками, как точки проникновения в корпоративные сети.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии