IoT-ботнет Ares заражает Android-приставки производства HiSilicon, Cubetek и QezyMedia

Специалисты компании WootCloud обнаружили IoT-ботнет Ares, который в основном атакует Android-приставки производства HiSilicon, Cubetek и QezyMedia. Малварь не использует каких-либо уязвимостей, но заражает устройства, доступные посредством отладочных портов Android Debug Bridge (ADB).

Хотя по умолчанию ADB отключен на большинстве устройств, некоторые гаджеты все же поставляются с включенным ADB (чаще всего на порту 5555). В итоге не прошедшие аутентификацию злоумышленники получают возможность удаленно подключиться к уязвимому устройству и получить доступ к командной оболочке ADB, которая обычно используется для установки и отладки приложений.

Ares далеко не первый ботнет, использующий данную тактику (1, 2), а также далеко не первый ботнет, построенный на базе известного IoT-вредоноса Mirai. Но в настоящее время Ares считается одним из наиболее активных Mirai-ботнетов.

Хотя Ares определенно пытается заражать любые доступные через ADB девайсы, по данным WootCloud, сейчас ботнет состоит в основном из вышеупомянутых Android-приставок (но, по мнению исследователей, это может в любой момент измениться). Пока скомпрометированные устройства используются лишь для поиска и заражения новых хостов, и конечная цель операторов малвари неизвестна.

Эксперты пишут, что построенная на базе Mirai угроза способна проксировать трафик, а также может использоваться для проведения DDoS-атак. Однако уязвимые Android-устройства в корпоративных средах могут стать отличным плацдармом для хакеров и могут использоваться злоумышленниками, как точки проникновения в корпоративные сети.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)