Matryosh Botnet

Os pesquisadores de Infosec descobriram um novo botnet que ainda está em seus estágios iniciais de estabelecimento. Chamado de Matryosh, o botnet explora dispositivos Android que têm o Android Debug Bridge ativado e exposto à Internet pelo fornecedor. O problema envolvendo esse diagnóstico e interface de depuração já foi usado como um vetor de comprometimento por várias cepas de malware diferentes nos últimos dois anos. Algumas das ameaças incluem Trinity, ADB.Miner, Fbot, Ares e IPStorm. Também deve ser observado que o Matryosh Botnet compartilha várias semelhanças impressionantes com dois botnets previamente implantados, chamados Moobot e LeetHozer, levando os pesquisadores à conclusão de que o mesmo grupo de ataque é responsável por todos os três.

O que diferencia o Matryosh Botnet é que seu servidor Command-and-Control (C2, C&C) está hospedado na rede TOR, tornando-os muito mais difíceis de detectar. Além disso, a ameaça obtém o endereço do servidor executando um processo complexo em várias camadas.

Quando implantado, o Matryosh será capaz de realizar ataques DDoS (negação de serviço distribuída), que também eram a função principal dos dois botnets anteriores implantados pelo grupo de hackers. O ataque pode ser lançado por meio dos protocolos TCP, UDP e ICMP.