Matryosh Botnet

Infosec-onderzoekers ontdekten een nieuw botnet dat zich nog in de beginfase bevindt. Het botnet, genaamd Matryosh, exploiteert Android-apparaten waarop de Android Debug Bridge is ingeschakeld en door de verkoper op internet is weergegeven. Het probleem met deze diagnostische en foutopsporingsinterface is de afgelopen jaren al door verschillende malwarestammen als compromisvector gebruikt. Enkele van de bedreigingen zijn onder meer Trinity, ADB.Miner, Fbot, Ares en IPStorm. Er moet ook worden opgemerkt dat Matryosh Botnet verschillende opvallende overeenkomsten vertoont met twee eerder ingezette botnets genaamd Moobot en LeetHozer, waardoor onderzoekers tot de conclusie kwamen dat dezelfde aanvalsgroep verantwoordelijk is voor alle drie.

Wat Matryosh Botnet onderscheidt, is dat de Command-and-Control-server (C2, C&C) wordt gehost op het TOR-netwerk, waardoor ze veel moeilijker te detecteren zijn. Bovendien verkrijgt de dreiging het adres van de server door een complex meerlagig proces uit te voeren.

Wanneer Matryosh wordt ingezet, kan hij DDoS-aanvallen (Distributed Denial-of-Service) uitvoeren, die ook de primaire functie waren van de vorige twee botnets die door de hackergroep werden ingezet. De aanval kan worden gestart via de protocollen TCP, UDP en ICMP.