Исследователи из Hunt.io обнаружили новый ботнет на базе Mirai, идентифицирующий себя как xlabs_v1, который эксплуатирует устройства с открытым сервисом Android Debug Bridge (ADB) на TCP-порту 5555. Под угрозой находятся Android TV-приставки, телевизоры Smart TV, медиаплееры и IoT-оборудование, поставляемое с включённым по умолчанию ADB. По данным исследователей, ботнет предлагается как коммерческий сервис для проведения DDoS-атак, ориентированный преимущественно на игровые серверы и хостинг Minecraft. Владельцам любых устройств на базе Android с сетевым доступом к порту 5555 рекомендуется немедленно отключить ADB или заблокировать порт на уровне межсетевого экрана.

Как был обнаружен ботнет

Как сообщается, Hunt.io выявила открытый каталог на сервере в Нидерландах по адресу 176.65.139[.]44, доступный без какой-либо аутентификации. Анализ содержимого позволил восстановить полную картину функциональности вредоносного ПО, его инфраструктуры управления и бизнес-модели оператора.

Технические характеристики вредоноса

По данным исследователей, xlabs_v1 поддерживает 21 вариант флуд-атак по протоколам TCP, UDP и на уровне сырых пакетов, включая UDP-трафик, имитирующий RakNet и OpenVPN. Такое разнообразие методов, предположительно, позволяет обходить базовые средства защиты от DDoS.

Вредоносное ПО распространяется в нескольких формах:

• Android APK-файл (boot.apk)
• Статически скомпонованные бинарные файлы для архитектур ARM, MIPS, x86-64 и ARC

Поддержка множества архитектур указывает на то, что целями являются не только Android-устройства, но и домашние маршрутизаторы и прочее IoT-оборудование. Как сообщает Hunt.io, бот доставляется через команды ADB shell с записью в директорию /data/local/tmp. Список из девяти вариантов полезной нагрузки оптимизирован для Android TV-приставок, медиаплееров, Smart TV и ARM-оборудования IoT-класса с включённым ADB.

Управление ботнетом осуществляется через панель оператора на домене xlabslover[.]lol, откуда поступают команды на генерацию мусорного трафика в адрес целевых серверов.

Профилирование пропускной способности и модель монетизации

Одна из примечательных особенностей xlabs_v1 — встроенный механизм профилирования пропускной способности заражённых устройств. По данным Hunt.io, этот компонент открывает 8 192 параллельных TCP-соединения к ближайшему географически серверу Speedtest, нагружает их в течение 10 секунд и передаёт измеренную скорость передачи данных обратно на панель управления. Предположительно, это позволяет оператору распределять заражённые устройства по ценовым категориям для клиентов сервиса.

Существенная деталь: после отправки данных о пропускной способности (в мегабитах в секунду) бот завершает работу. Вредонос не создаёт механизмов закрепления в системе — не записывает себя в постоянные хранилища, не модифицирует скрипты инициализации, не создаёт юниты systemd и не регистрирует задачи cron. Это означает, что для повторного использования устройства оператору необходимо заново эксплуатировать уязвимость ADB. По оценке Hunt.io, такой подход является намеренным: профилирование пропускной способности рассматривается оператором как нечастая операция обновления данных о «флоте» устройств.

Подавление конкурирующего вредоносного ПО

Ботнет включает подсистему уничтожения конкурентов, которая завершает процессы другого вредоносного ПО на заражённом устройстве. Цель — монополизировать всю исходящую пропускную способность устройства для собственных DDoS-атак.

Связанная инфраструктура

При анализе смежной инфраструктуры на хосте 176.65.139[.]42 был обнаружен набор инструментов для майнинга Monero — VLTRig. Однако, как отмечают исследователи, связь между операторами ботнета и майнинговой активностью не установлена.

Отдельно компания Darktrace сообщила о том, что намеренно неправильно сконфигурированный экземпляр Jenkins в её сети-ловушке стал целью неизвестных злоумышленников, которые развернули DDoS-ботнет, загруженный с сервера 103.177.110[.]202. Наличие специфических для игровой индустрии техник атак подтверждает, что игровой сектор остаётся приоритетной целью для операторов ботнетов.

Оценка уровня угрозы

По оценке Hunt.io, xlabs_v1 занимает промежуточную позицию в экосистеме криминальных DDoS-сервисов: он сложнее типичных форков Mirai, создаваемых начинающими злоумышленниками, но уступает по техническому уровню ведущим коммерческим платформам для DDoS-атак. Оператор, предположительно, конкурирует за счёт цены и разнообразия методов атак, а не технической изощрённости.

Основные категории устройств под угрозой:

• Android TV-приставки и медиаплееры
• Телевизоры Smart TV
• Домашние маршрутизаторы
• IoT-устройства на базе ARM
• Любое оборудование с ADB, доступным из сети

Индикаторы компрометации

• IP-адреса: 176.65.139[.]44, 176.65.139[.]42, 103.177.110[.]202
• Домен C2: xlabslover[.]lol

Рекомендации по защите

1. Отключите ADB на всех устройствах, где он не используется для разработки. На Android TV и приставках эта опция обычно находится в разделе «Для разработчиков» системных настроек.
2. Заблокируйте TCP-порт 5555 на уровне маршрутизатора или межсетевого экрана для входящих подключений из интернета. Проверьте, что порт не проброшен через NAT.
3. Выполните сканирование сети на наличие устройств с открытым портом 5555 командой: nmap -p 5555 --open <диапазон_сети>
4. Проверьте IoT-устройства на наличие подозрительных файлов в директории /data/local/tmp.
5. Добавьте указанные выше IP-адреса и домен в списки блокировки на средствах сетевой защиты.
6. Операторам игровых серверов рекомендуется использовать специализированные сервисы защиты от DDoS, способные фильтровать трафик по протоколам RakNet и UDP.

Отсутствие механизма закрепления у xlabs_v1 — одновременно и слабость, и индикатор операционной модели: каждая перезагрузка устройства устраняет заражение, но повторная эксплуатация через открытый ADB тривиальна. Единственная надёжная мера — полное закрытие порта 5555 для внешнего доступа. Владельцам Android TV-приставок и IoT-устройств следует проверить настройки ADB и конфигурацию маршрутизатора сегодня, не дожидаясь признаков компрометации.