A empresa chinesa de segurança Netlab anunciou a descoberta de uma nova operação de malware que está “recrutando” dispositivos Android para criar uma botnet.
Chamada de Matryosh (matriosca), em referência às bonecas russas encaixadas umas dentro das outras, a botnet está atacando aparelhos cujos fabricantes deixaram uma interface de depuração (ADB, Android Debug Bridge) acessível via Wi-Fi na porta 5555.
A Matryosh não é a primeira botnet que se aproveita de uma vulnerabilidade da ADB, mas chama a atenção pelo fato de que usa a rede Tor para ocultar seus servidores de comando e controle, e pelo uso de um processo em múltiplas camadas (daí o nome) para descobrir seus endereços.
Segundo a Netlab, há várias pistas no código da Matryosh que sugerem que ela foi criada pelos menos desenvolvedores responsáveis pelas botnets Moobot, de 2019 e LeetHozer, de 2020.
Ambas foram criadas para realizar ataques de negação de serviço (DDoS, Distributed Denial of Service), e aparentemente este também é o propósito da Matryosh.
Felizmente, quem tem smartphones de grandes fabricantes (como Samsung, LG, Motorola, Xiaomi, etc) provavelmente não precisa se preocupar com a Matryosh. O risco é maior em aparelhos de fabricantes menores ou menos experientes, que não sabem proteger seus produtos ou não se importam com a segurança dos usuários.
Há pouco que um usuário comum pode fazer para se proteger da Matryosh. Como ela infecta um aparelho através de uma porta de depuração do sistema, as dicas tradicionais de segurança como “não instale apps de fontes desconhecidas” e “tenha um antivírus” não se aplicam aqui.
É possível desativar a ADB via Wi-Fi, mas para isso é necessário ativar o “modo desenvolvedor” no smartphone e se aventurar com alguns comandos no terminal, seguindo um tutorial como este.
Como resultado, muitos aparelhos continuarão vulneráveis por anos, fornecendo a botnets como a Matryosh uma imensa quantidade de “drones” prontos para obedecer a seus comandos.
Tags: