Neuer Mirai-Ableger xlabs_v1 missbraucht offenen Android-ADB-Port 5555

Foto des Autors

CyberSecureFox Editorial Team

Forschende von Hunt.io haben ein neues auf Mirai basierendes Botnet entdeckt, das sich als xlabs_v1 identifiziert und Geräte mit offenem Android Debug Bridge (ADB)-Dienst auf TCP-Port 5555 ausnutzt. Gefährdet sind Android-TV-Boxen, Smart-TVs, Media-Player und IoT-Geräte, die mit standardmäßig aktiviertem ADB ausgeliefert werden. Nach Angaben der Forschenden wird das Botnet als kommerzieller Service für DDoS-Angriffe angeboten, der sich vor allem gegen Gaming-Server und Minecraft-Hosting richtet. Besitzer beliebiger Android-basierter Geräte mit Netzwerkzugang zu Port 5555 sollten ADB umgehend deaktivieren oder den Port auf Firewall-Ebene blockieren.

Wie das Botnet entdeckt wurde

Wie berichtet, hat Hunt.io auf einem Server in den Niederlanden unter der Adresse 176.65.139[.]44 ein offen zugängliches Verzeichnis ohne jegliche Authentifizierung entdeckt. Die Analyse des Inhalts ermöglichte es, ein vollständiges Bild der Funktionalität der Schadsoftware, ihrer Steuerungsinfrastruktur und des Geschäftsmodells des Betreibers zu rekonstruieren.

Technische Merkmale der Schadsoftware

Nach Angaben der Forschenden unterstützt xlabs_v1 21 Varianten von Flood-Angriffen über die Protokolle TCP, UDP und auf der Ebene roher Pakete, einschließlich UDP-Traffic, der RakNet und OpenVPN imitiert. Diese Vielfalt an Methoden soll es vermutlich ermöglichen, grundlegende Schutzmechanismen gegen DDoS zu umgehen.

Die Schadsoftware wird in mehreren Formen verteilt:

  • Android-APK-Datei (boot.apk)
  • Statisch gelinkte Binärdateien für die Architekturen ARM, MIPS, x86-64 und ARC

Die Unterstützung zahlreicher Architekturen deutet darauf hin, dass nicht nur Android-Geräte, sondern auch Heimrouter und weitere IoT-Hardware im Visier stehen. Wie Hunt.io berichtet, wird der Bot über ADB-shell-Befehle in das Verzeichnis /data/local/tmp geschrieben. Die Liste aus neun Payload-Varianten ist für Android-TV-Boxen, Media-Player, Smart-TVs und ARM-basierte IoT-Geräte mit aktiviertem ADB optimiert.

Gesteuert wird das Botnet über ein Operator-Panel unter der Domain xlabslover[.]lol, von dem aus Befehle zum Generieren von Junk-Traffic gegen Zielserver ausgegeben werden.

Profiling der Bandbreite und Monetarisierungsmodell

Eine der auffälligen Eigenschaften von xlabs_v1 ist ein integrierter Mechanismus zum Profiling der Bandbreite infizierter Geräte. Nach Angaben von Hunt.io öffnet diese Komponente 8 192 parallele TCP-Verbindungen zum geographisch nächstgelegenen Speedtest-Server, belastet sie 10 Sekunden lang und übermittelt die gemessene Datenübertragungsrate zurück an das Kontrollpanel. Vermutlich ermöglicht dies dem Betreiber, die infizierten Geräte für Kunden des Dienstes in Preiskategorien einzuteilen.

Eine wesentliche Detailfrage: Nachdem die Daten zur Bandbreite (in Megabit pro Sekunde) gesendet wurden, beendet der Bot seine Arbeit. Die Schadsoftware implementiert keinen Persistenzmechanismus im System – sie schreibt sich nicht in permanente Speicherbereiche, modifiziert keine Init-Skripte, erstellt keine systemd-Units und registriert keine cron-Jobs. Das bedeutet, dass der Betreiber zur erneuten Nutzung des Geräts die ADB-Schwachstelle jedes Mal von Neuem ausnutzen muss. Nach Einschätzung von Hunt.io ist dies ein bewusst gewählter Ansatz: Das Bandbreiten-Profiling wird vom Betreiber als seltene Aktualisierungsoperation für die Daten zur eigenen „Flotte“ von Geräten betrachtet.

Unterdrückung konkurrierender Schadsoftware

Das Botnet enthält eine Subkomponente zur Ausschaltung von Konkurrenten, die Prozesse anderer Schadsoftware auf dem infizierten Gerät beendet. Ziel ist es, die gesamte ausgehende Bandbreite des Geräts für die eigenen DDoS-Angriffe zu monopolisieren.

Verwandte Infrastruktur

Bei der Analyse der zugehörigen Infrastruktur auf dem Host 176.65.139[.]42 wurde ein Set von Tools zum Mining der Kryptowährung Monero – VLTRig – entdeckt. Wie die Forschenden anmerken, ist jedoch kein Zusammenhang zwischen den Betreibern des Botnets und dieser Mining-Aktivität belegt.

Darüber hinaus berichtete das Unternehmen Darktrace, dass eine absichtlich falsch konfigurierte Jenkins-Instanz in seinem Honeypot-Netz Ziel unbekannter Angreifer wurde, die ein DDoS-Botnet von dem Server 103.177.110[.]202 aus ausgerollt haben. Das Vorhandensein von für die Spieleindustrie spezifischen Angriffstechniken bestätigt, dass der Gaming-Sektor für Botnet-Betreiber weiterhin ein vorrangiges Ziel bleibt.

Einschätzung der Bedrohungslage

Nach Einschätzung von Hunt.io nimmt xlabs_v1 eine Zwischenposition im Ökosystem krimineller DDoS-Services ein: Es ist komplexer als typische Mirai-Forks, die von Einsteigern erstellt werden, bleibt jedoch führenden kommerziellen Plattformen für DDoS-Angriffe technisch unterlegen. Der Betreiber konkurriert mutmaßlich über Preis und Vielfalt der Angriffsmethoden und weniger über technische Raffinesse.

Zentrale Gerätekategorien unter Bedrohung:

  • Android-TV-Boxen und Media-Player
  • Smart-TVs
  • Heimrouter
  • ARM-basierte IoT-Geräte
  • Beliebige Hardware mit aus dem Netzwerk erreichbarem ADB

Indikatoren einer Kompromittierung

  • IP-Adressen: 176.65.139[.]44, 176.65.139[.]42, 103.177.110[.]202
  • C2-Domain: xlabslover[.]lol

Empfehlungen zum Schutz

  1. Deaktivieren Sie ADB auf allen Geräten, auf denen es nicht für die Entwicklung benötigt wird. Auf Android TV und TV-Boxen befindet sich diese Option in der Regel im Bereich „Für Entwickler“ der Systemeinstellungen.
  2. Blockieren Sie TCP-Port 5555 auf Router- oder Firewall-Ebene für eingehende Verbindungen aus dem Internet. Stellen Sie sicher, dass der Port nicht per NAT weitergeleitet wird.
  3. Scannen Sie Ihr Netzwerk auf Geräte mit offenem Port 5555 mit dem Befehl: nmap -p 5555 --open <диапазон_сети>
  4. Überprüfen Sie IoT-Geräte auf verdächtige Dateien im Verzeichnis /data/local/tmp.
  5. Fügen Sie die oben genannten IP-Adressen und die Domain zu den Blocklisten Ihrer Netzwerksicherheitslösungen hinzu.
  6. Betreibern von Gaming-Servern wird empfohlen, spezialisierte Services zum Schutz vor DDoS einzusetzen, die Traffic nach den Protokollen RakNet und UDP filtern können.

Das Fehlen eines Persistenzmechanismus bei xlabs_v1 ist zugleich eine Schwäche und ein Indikator für das operative Modell: Jeder Neustart des Geräts entfernt die Infektion, doch die erneute Ausnutzung über ein offenes ADB ist trivial. Die einzige verlässliche Maßnahme besteht darin, Port 5555 vollständig für externen Zugriff zu schließen. Besitzer von Android-TV-Boxen und IoT-Geräten sollten ihre ADB-Einstellungen und die Router-Konfiguration noch heute überprüfen, ohne auf Anzeichen einer Kompromittierung zu warten.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen