Android-устройства атакует бот Matryosh — наследник Mirai

Android-устройства атакует бот Matryosh — наследник Mirai

Android-устройства атакует бот Matryosh — наследник Mirai

Новый Linux-вредонос распространяется, используя интерфейс отладки ADB (Android Debug Bridge), и приобщает мобильные устройства к ботнету с единственной целью — сделать их соучастниками DDoS-атаки.

Новобранец был обнаружен в конце прошлого месяца; на мониторах Qihoo 360 он засветился как Mirai. Анализ показал, что новый бот, действительно, использует фреймворк этого известного громкими DDoS-атаками зловреда, но в отличие от него прячет свой C2-сервер в сети Tor.

Из-за многоступенчатой схемы поиска центра управления и ведущих к нему прокси-серверов новоявленный бот получил кодовое имя Matryosh — «Матрешка». Получить нужные адреса ему помогают ресурсные записи DNS TXT, которые он запрашивает и разбирает по заданному алгоритму.

 

Боты Matryosh не имеют встроенного сканера и не оперируют эксплойтами. Их единственное назначение — проведение DDoS-атак по типу flood (TCP, IMCP и UDP).

Заражение целевого устройства тоже происходит поэтапно. Внедренная через ADB полезная нагрузка загружает и запускает скрипты с удаленного сервера 199[.]19[.]226[.]25 (скорее всего, взломан; штат Вайоминг). Эти скрипты, в свою очередь, загружают вариант основного модуля Matryosh в соответствии с используемым CPU (архитектура х86, ARM, MIPS и проч.).

Чтобы обмануть жертву, зловред при запуске переименовывает свой процесс и отображает ошибку ввода stdin: pipe failed. Ключевые ресурсы Matryosh зашифрованы, что затрудняет его анализ.

Уловка с выводом ошибки при запуске, использование Tor, а также формат команд, получаемых ботом, указывают на родственную связь с LeetHozer — другим Mirai-подобным зловредом, которого исследователи обнаружили почти год назад. Ту находку в Qihoo 360 относят к семейству Moobot; создатели таких DDoS-ботов взяли за основу код Mirai и постоянно экспериментируют, порождая все новые и новые итерации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ и уязвимости создали крупнейшие DDoS-ботнеты — 5,7 млн устройств

Компания CURATOR, специализирующаяся на защите интернет-ресурсов от DDoS-атак, зафиксировала в третьем квартале 2025 года рекордный скачок ботнет-активности. По словам экспертов, сочетание искусственного интеллекта и огромного числа незащищённых устройств создало идеальные условия для появления крупнейших DDoS-сетей за всю историю наблюдений.

В одной из атак, которую специалисты CURATOR отслеживали более полугода, участвовало 5,76 миллиона заражённых устройств — в основном из Бразилии, Вьетнама, США, Индии и Аргентины.

 

Для сравнения: в прошлом году крупнейший ботнет включал всего около 227 тысяч устройств, то есть масштаб вырос более чем в 25 раз.

Бразилия впервые обогнала Россию и США, став крупнейшим источником L7 DDoS-атак — почти 19% от всего вредоносного трафика. Вьетнам показал стремительный рост, поднявшись за год с 15-го на 4-е место по активности ботов.

 

По оценке специалистов CURATOR, взрывной рост ботнетов связан с двумя факторами. Первый — ускоренная цифровизация в развивающихся странах, где миллионы устройств подключаются к Сети без должной защиты. Второй — активное использование злоумышленниками ИИ-инструментов, которые помогают автоматически находить и заражать такие устройства.

«Большое количество уязвимых гаджетов было и раньше, но теперь благодаря ИИ злоумышленники пробивают их в разы быстрее и эффективнее», — пояснил Дмитрий Ткачёв, генеральный директор CURATOR.

Больше всего DDoS-атак в третьем квартале пришлось на компании из сфер финтеха (26,1%), электронной коммерции (22%), медиа (15,8%) и телекоммуникаций (14,5%).

 

Самая мощная атака за квартал пришлась на электронную коммерция — её пик достиг 1,15 Тбит/с, что немного превысило прошлогодний рекорд. А самая продолжительная атака против онлайн-магазинов длилась 14 часов 33 минуты.

Напомним, в сентября Cloudflare зафиксировала самую мощную DDoS-атаку за всё время наблюдений. Пиковая нагрузка достигла 22,2 терабита в секунду и 10,6 млрд пакетов в секунду — это почти вдвое больше предыдущего рекорда.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru