Botnet Matryosh

Les chercheurs d'Infosec ont découvert un nouveau botnet qui en est encore à ses débuts. Nommé Matryosh, le botnet exploite les appareils Android sur lesquels le pont de débogage Android est laissé activé et exposé à Internet par le fournisseur. Le problème lié à cette interface de diagnostic et de débogage a déjà été utilisé comme vecteur de compromis par plusieurs souches de logiciels malveillants au cours des deux dernières années. Certaines des menaces incluent la Trinité, ADB.Miner, Fbot, Ares et IPStorm. Il convient également de noter que Matryosh Botnet partage plusieurs similitudes frappantes avec deux réseaux de zombies précédemment déployés nommés Moobot et LeetHozer,ce qui conduit les chercheurs à la conclusion que le même groupe d'attaque est responsable des trois.

Ce qui distingue Matryosh Botnet, c'est que son serveur de commande et de contrôle (C2, C&C) est hébergé sur le réseau TOR, ce qui les rend d'autant plus difficiles à détecter. De plus, la menace obtient l'adresse du serveur en exécutant un processus complexe à plusieurs niveaux.

Une fois déployé, Matryosh sera capable de mener des attaques DDoS (Distributed Denial-of-Service), qui étaient également la fonction principale des deux précédents botnets déployés par le groupe de hackers. L'attaque peut être lancée via les protocoles TCP, UDP et ICMP.