C'è una nuova minaccia per i dispositivi Android: la rete Matryosh che si nasconde nel Dark Web e che può sfruttare i dispositivi per attaccare i siti Web.
Tutti i dispositivi Android, smartphone e non solo, possono essere attaccati sfruttando l’interfaccia ADB: Android Debug Bridge. Lo si sa da tempo e in passato ci sono stati anche dei malware che lo hanno fatto, come ADB.Miner, Ares, IPStorm, Fbot, e Trinity.
Ma adesso c’è anche un rischio in più: il dispositivo potrebbe essere catturato nella botnet “Matryosh“. Matryosh è il nome di questa botnet, cioè una rete di smartphone o computer controllati da remoto dagli hacker all’insaputa degli utenti, scelto da Netlab, la divisione di sicurezza delle reti della cinese Qihoo 360. Netlab ha scoperto che esiste questa rete di dispositivi zombie e che è molto facile inserire al suo interno un dispositivo Android. La buona notizia è che gli smartphone possono essere protetti, ed non è neanche troppo difficile farlo, ma tutti gli altri dispositivi Android no.
Cos’è Matryosh
Secondo il rapporto pubblicato da Netlab Matryosh è l’ultima di una lunga serie di botnet che tentano di sfruttare l’ADB, ma ha caratteristiche nuove ed uniche. Questa unicità deriva dall’utilizzo della rete TOR per nascondere i suoi server di comando e controllo e dall’uso di un processo a più livelli per ottenere l’indirizzo dei server: da qui il nome della botnet, ispirato alla classica matrioska russa.
La rete TOR è una parte del Dark Web ed è nascosta sotto diversi strati “a cipolla" (TOR sta per “The Onion Router“) che garantiscono l’anonimato di chi vi naviga.
Matryosh usa server protetti dalla rete TOR affinché non sia possibile tracciare chi sta gestendo le operazioni da remoto. In this way hackers protect themselves from police operations like the one that, a few days ago, led to the dismantling of the three Epoch botnets that were sending commands to the Emotet virus.
What does Matryosh do
Unlike Epoch and Emotet, however, it would seem that the real purpose of Matryosh is another: to launch DDoS attacks against specific targets. These attacks consist of a bombardment of requests to a website in order to bring it down and knock it out.
Lately, these attacks are often implemented by hackers to blackmail companies previously affected by a ransomware infection.
Matryosh, quindi, probabilmente è l’ennesimo strumento di attacco messo a disposizione dagli hacker a chi vuole sferrare un attacco, previo pagamento di un “canone di affitto" naturalmente.
Come difendersi da Matryosh
Per non entrare a far parte inconsapevolmente della rete Matryosh ed evitare che il proprio dispositivo sia usato per lanciare questi attacchi è necessario bloccare l’ADB.
Per farlo basta disattivare la modalità Debug USB sullo smartphone, andando su Impostazioni > Informazioni sul telefono e facendo tap sette volte sul numero della build del sistema operativo (di solito è l’ultima opzione della schermata).
Poi bisogna andare su Sistema > Avanzate > Opzioni sviluppatore e qui troveremo un toggle per attivare o disattivare il debug USB.
Purtroppo però non è possibile fare tutto ciò anche sui dispositivi Android diversi dagli smartphone, come ad esempio le smart TV.