Botnet Hide and Seek con vector de infeccion en Android
Desde su descubrimiento a principios de este año el botnet Hide and Seek IoT ha aumentado sus capacidades de infección con nuevos vectores
Las últimas muestras buscan dispositivos Android con la función de depuración inalámbrica habilitada.
Mientras que los botnets de IoT aparecen y desaparecen a diario, Hide and Seek primero atrajo la atención a través de su rápido crecimiento a más de 90,000 dispositivos en solo unos pocos días.
El nuevo mecanismo de infección observado en la última versión no explota una vulnerabilidad, sino una configuración incorrecta de los dispositivos, que se envía con una conexión activa de Android Debug Bridge a través de WiFi.
De forma predeterminada, Android tiene esta opción desactivada, pero los fabricantes de dispositivos lo habilitan en la etapa de producción para personalizar el sistema operativo de sus productos. Los usuarios deben activarlo manualmente.
Miles de dispositivos listos para el desplume
Al aprovechar esta supervisión de los fabricantes de dispositivos, Hide and Seek se posiciona para expandir su alcance a decenas de miles de bots potenciales.
Los investigadores de seguridad de Bitdefender han estado rastreando la botnet desde el 10 de enero y han monitoreado las nuevas funcionalidades agregadas a las nuevas versiones.
"Las muestras recién identificadas añaden funcionalidad mediante la explotación del Android Debug Bridge (ADB) a través de la función Wi-Fi en dispositivos Android, que los desarrolladores normalmente utilizan para la solución de problemas", dice Liviu Arsene, Analista Senior de Amenazas Electrónicas.
La explotación de la conexión ADB abierta no es nueva. Se informó por primera vez en febrero de una botnet que dejó caer a un minero de criptomonedas.
Según Bitdefender, Hide and Seek puede agregar 40,000 dispositivos nuevos a su ejército de bots, la mayoría de ellos en Taiwán, Corea y China.
Crecer parece ser el objetivo actual
A pesar de que admite comandos para la exfiltración de datos y la ejecución del código, los investigadores no los han visto utilizar por la botnet. Además, no existe un módulo para lanzar ataques distribuidos de denegación de servicio, un método principal para la monetización de botnets.
El Botnet agrega tantos tipos de dispositivos como sea posible
Desde el principio, Hide and Seek tuvo claro que no le importaba el tipo de dispositivos que infectaba. Comenzó centrándose en cámaras IP y luego se extendió a DVR, NVR y cajas de IPTV. Ahora los dispositivos Android también están a la vista.
Sus desarrolladores compilaron binarios para múltiples arquitecturas, incluyendo MIPS, ARM, Motorola 68020, SuperH, PowerPC, x86 y x64. También desarrollaron un mecanismo P2P personalizado para comunicarse con otros sistemas infectados.
Además, el malware también agregó capacidades de persistencia, lo que le permitiría sobrevivir a los reinicios en un enrutador infectado.
Los vectores de infección que Hide y Seek utiliza ahora incluyen escaneo telnet y fuerza bruta, explotando una vulnerabilidad en AVTECH IP Camera, NVR y DVR, explotando una vulnerabilidad en la cámara Wansview NCS601W, y buscando el puerto abierto TCP 5555, específico para conexiones ADB.