Botnet de Matryosh

Los investigadores de Infosec descubrieron una nueva botnet que aún se encuentra en sus etapas iniciales de establecimiento. Con el nombre de Matryosh, la botnet explota los dispositivos Android que tienen el Android Debug Bridge habilitado y expuesto a Internet por el proveedor. El problema relacionado con esta interfaz de diagnóstico y depuración ya ha sido utilizado como un vector de compromiso por varias cepas de malware diferentes durante los últimos años. Algunas de las amenazas incluyen Trinity, ADB.Miner, Fbot, Ares e IPStorm. También debe tenerse en cuenta que Matryosh Botnet comparte varias similitudes sorprendentes con dos botnets previamente implementadas llamadas Moobot y LeetHozer, lo que lleva a los investigadores a la conclusión de que el mismo grupo de ataque es responsable de los tres.

Lo que distingue a Matryosh Botnet es que su servidor de comando y control (C2, C&C) está alojado en la red TOR, lo que los hace mucho más difíciles de detectar. Además, la amenaza obtiene la dirección del servidor mediante la realización de un complejo proceso de varias capas.

Cuando se implemente, Matryosh podrá llevar a cabo ataques DDoS (Distributed Denial-of-Service), que también fueron la función principal de las dos botnets anteriores implementadas por el grupo de hackers. El ataque se puede lanzar a través de los protocolos TCP, UDP e ICMP.