Дослідники з Hunt.io виявили новий ботнет на базі Mirai, який ідентифікує себе як xlabs_v1 та експлуатує пристрої з відкритим сервісом Android Debug Bridge (ADB) на TCP-порті 5555. Під загрозою опинилися Android TV-приставки, Smart TV, медіаплеєри та IoT-обладнання, що постачається з увімкненим за замовчуванням ADB. За даними дослідників, ботнет пропонується як комерційний сервіс для проведення DDoS-атак, орієнтований переважно на ігрові сервери та хостинг Minecraft. Власникам будь-яких пристроїв на базі Android з мережевим доступом до порту 5555 рекомендується негайно вимкнути ADB або заблокувати порт на рівні брандмауера.

Як був виявлений ботнет

Як повідомляється, Hunt.io виявила відкритий каталог на сервері в Нідерландах за адресою 176.65.139[.]44, доступний без будь-якої автентифікації. Аналіз вмісту дав змогу відновити повну картину функціональності шкідливого ПЗ, його інфраструктури керування та бізнес-моделі оператора.

Технічні характеристики шкідника

За даними дослідників, xlabs_v1 підтримує 21 варіант флуд-атак за протоколами TCP, UDP та на рівні сирих пакетів, включно з UDP-трафіком, що імітує RakNet і OpenVPN. Таке різноманіття методів, імовірно, дає змогу обходити базові засоби захисту від DDoS.

Шкідливе ПЗ поширюється в кількох формах:

• Android APK-файл (boot.apk)
• Статично скомпоновані двійкові файли для архітектур ARM, MIPS, x86-64 і ARC

Підтримка багатьох архітектур вказує на те, що цілями є не лише Android-пристрої, а й домашні маршрутизатори та інше IoT-обладнання. Як повідомляє Hunt.io, бот доставляється через команди ADB shell із записом у директорію /data/local/tmp. Список із дев’яти варіантів корисного навантаження оптимізований для Android TV-приставок, медіаплеєрів, Smart TV та ARM-обладнання IoT-класу з увімкненим ADB.

Керування ботнетом здійснюється через панель оператора на домені xlabslover[.]lol, звідки надходять команди на генерацію сміттєвого трафіку на адресу цільових серверів.

Профілювання пропускної здатності та модель монетизації

Одна з примітних особливостей xlabs_v1 — вбудований механізм профілювання пропускної здатності інфікованих пристроїв. За даними Hunt.io, цей компонент відкриває 8 192 паралельні TCP-з’єднання до найближчого географічно сервера Speedtest, навантажує їх упродовж 10 секунд і надсилає виміряну швидкість передавання даних назад на панель керування. Імовірно, це дає оператору змогу розподіляти інфіковані пристрої за ціновими категоріями для клієнтів сервісу.

Важлива деталь: після надсилання даних про пропускну здатність (у мегабітах за секунду) бот завершує роботу. Шкідник не створює механізмів закріплення в системі — не записує себе в постійні сховища, не модифікує скрипти ініціалізації, не створює юніти systemd і не реєструє задачі cron. Це означає, що для повторного використання пристрою оператору необхідно щоразу знову експлуатувати вразливість ADB. За оцінкою Hunt.io, такий підхід є свідомим: профілювання пропускної здатності розглядається оператором як нечаста операція оновлення даних про «флот» пристроїв.

Придушення конкуруючого шкідливого ПЗ

Ботнет містить підсистему знищення конкурентів, яка завершує процеси іншого шкідливого ПЗ на інфікованому пристрої. Мета — монополізувати всю вихідну пропускну здатність пристрою для власних DDoS-атак.

Пов’язана інфраструктура

Під час аналізу суміжної інфраструктури на хості 176.65.139[.]42 було виявлено набір інструментів для майнінгу Monero — VLTRig. Однак, як зазначають дослідники, зв’язок між операторами ботнета та майнінговою активністю не встановлено.

Окремо компанія Darktrace повідомила про те, що навмисно неправильно сконфігурований екземпляр Jenkins у її мережі-пастці став ціллю невідомих зловмисників, які розгорнули DDoS-ботнет, завантажений із сервера 103.177.110[.]202. Наявність специфічних для ігрової індустрії технік атак підтверджує, що ігровий сектор залишається пріоритетною ціллю для операторів ботнетів.

Оцінка рівня загрози

За оцінкою Hunt.io, xlabs_v1 посідає проміжну позицію в екосистемі кримінальних DDoS-сервісів: він складніший за типові форки Mirai, створювані початківцями зловмисниками, але поступається за технічним рівнем провідним комерційним платформам для DDoS-атак. Оператор, імовірно, конкурує за рахунок ціни та різноманіття методів атак, а не технічної вишуканості.

Основні категорії пристроїв під загрозою:

• Android TV-приставки та медіаплеєри
• Телевізори Smart TV
• Домашні маршрутизатори
• IoT-пристрої на базі ARM
• Будь-яке обладнання з ADB, доступним із мережі

Індикатори компрометації

• IP-адреси: 176.65.139[.]44, 176.65.139[.]42, 103.177.110[.]202
• Домен C2: xlabslover[.]lol

Рекомендації щодо захисту

1. Вимкніть ADB на всіх пристроях, де він не використовується для розробки. На Android TV та приставках ця опція зазвичай знаходиться в розділі «Для розробників» системних налаштувань.
2. Заблокуйте TCP-порт 5555 на рівні маршрутизатора або брандмауера для вхідних підключень з інтернету. Переконайтеся, що порт не проброшений через NAT.
3. Виконайте сканування мережі на наявність пристроїв з відкритим портом 5555 командою: nmap -p 5555 --open <диапазон_сети>
4. Перевірте IoT-пристрої на наявність підозрілих файлів у директорії /data/local/tmp.
5. Додайте зазначені вище IP-адреси та домен до списків блокування у засобах мережевого захисту.
6. Операторам ігрових серверів рекомендується використовувати спеціалізовані сервіси захисту від DDoS, здатні фільтрувати трафік за протоколами RakNet і UDP.

Відсутність механізму закріплення у xlabs_v1 — водночас і слабкість, і індикатор операційної моделі: кожне перезавантаження пристрою усуває інфікування, але повторна експлуатація через відкритий ADB є тривіальною. Єдиний надійний захід — повне закриття порту 5555 для зовнішнього доступу. Власникам Android TV-приставок і IoT-пристроїв варто перевірити налаштування ADB та конфігурацію маршрутизатора вже сьогодні, не чекаючи ознак компрометації.