بر اساس گزارش نتلب ۳۶۰، محققان امنیتی این شرکت، یک عملیات نوپای بدافزاری را شناسایی کردهاند که دستگاههای اندروید را به منظور نصب باتنتهای بهرهبرداری در حملات DDoS در معرض خطر قرار میدهد.
این باتنت که ماتریوش (Matryosh) نام دارد، پس از آلودهسازی دستگاههای اندرویدی، از طریق فعال کردن و در معرض اینترنت قرار دادن رابط عیبیابی دستگاه (Android Debug Bridge - ADB)، امکان بهرهبرداریهای آتی مهاجمان را فراهم میسازد.
رابط ADB که روی پورت ۵۵۵۵ در دسترس است، یک روش شناخته شده برای عیبیابی و یافتن مشکلات متداول در دستگاههای اندروید به شمار میرود که تنها به تلفنهای هوشمند محدود نمیشود؛ بلکه روی تمام تلوزیونهای هوشمند، گیرنده دیجیتال و دیگر دستگاهها که از سیستمعامل اندروید استفاده میکنند نیز قابل فعالسازی و استفاده است.
در سالهای اخیر، خانوادههای بدافزاری مانند ADB.Miner، Ares، IPStorm، Fbot و Trinity اینترنت را به منظور پیدا کردن دستگاههای اندروید با رابط ADB فعال اسکن کردهاند؛ این بدافزارها پس از اتصال به سیستمهای آسیبپذیر، پیلودهای مخرب خود را روی دستگاهها دانلود و نصب میکردند.
اما باتنت ماتریوش که جدیدترین نسخه از این نوع بدافزارها شمرده میشود، تفاوتهایی قابل توجه با دیگر نمونهها دارد.
به گفته شرکت نتلب ۳۶۰، ماتریوش از شبکه تور برای پنهان کردن سرورهای کنترل و فرمان خود استفاده میکند و از فرآیندهای چند لایه برای دسترسی به آدرس این سرور استفاده میکند. همچنین این بدافزار برای اجرای حملات DDoS در دستگاههای آلوده از طریق پروتکلهای TCP، UDP و ICMP استفاده میکند.
به گفته محققان، در این نوع از حملات کار زیادی از دست کاربران ساخته نیست. با وجود اینکه کاربران تلفنهای هوشمند میتوانند قابلیت ADB را از طریق تنظیمات در گزینههای سیستمعامل اندروید غیرفعال کنند، اما امکان غیرفعال کردن این قابلیت در اکثر دستگاههای دیگر مبتنی بر اندروید وجود ندارد.
از این رو بسیاری از دستگاهها همچنان در برابر این بدافزار آسیبپذیر خواهند ماند و به بدافزارهایی مانند ماتریوش اجازه سوءاستفاده با روشهای مختلف از جمله استخراج ارز دیجیتال، سرقت DNS یا حملات DDoS را میدهند.
توضیحات بیشتر: