Matryosh Botnet

I ricercatori di Infosec hanno scoperto una nuova botnet che è ancora nelle sue fasi iniziali di creazione. Chiamata Matryosh, la botnet sfrutta i dispositivi Android in cui Android Debug Bridge è stato lasciato abilitato ed esposto a Internet dal venditore. Il problema relativo a questa interfaccia di diagnostica e debug è già stato utilizzato come vettore di compromissione da diversi ceppi di malware negli ultimi due anni. Alcune delle minacce includono Trinity, ADB.Miner, Fbot, Ares e IPStorm. Va anche notato che Matryosh Botnet condivide diverse sorprendenti somiglianze con due botnet precedentemente distribuite denominate Moobot e LeetHozer, portando i ricercatori alla conclusione che lo stesso gruppo di attacco è responsabile di tutti e tre.

Ciò che distingue Matryosh Botnet è che il suo server Command-and-Control (C2, C&C) è ospitato sulla rete TOR, rendendoli molto più difficili da rilevare. Inoltre, la minaccia ottiene l'indirizzo del server eseguendo un complesso processo a più livelli.

Una volta implementato, Matryosh sarà in grado di eseguire attacchi DDoS (Distributed Denial-of-Service), che erano anche la funzione principale delle due precedenti botnet implementate dal gruppo di hacker. L'attacco può essere lanciato tramite i protocolli TCP, UDP e ICMP.