Функционал ботнета из устройств "Интернета вещей" (IoT) под названием Hide and Seek регулярно обновляется с добавлением новых векторов заражения. Как сообщают специалисты компании Bitdefender, последняя версия вредоносного ПО получила возможность поиска Android-устройств с активированной функцией беспроводной отладки.
Несмотря на то, что IoT-ботнеты появляются и исчезают каждый день, Hide and Seek привлек внимание ИБ-экспертов своим стремительным ростом – всего за несколько дней сеть охватила свыше 90 тыс. устройств.
Заражение устройств новой версией вредоноса происходит не через уязвимости, а через некорректную конфигурацию – активированное подключение Android Debug Bridge по Wi-Fi. Android Debug Bridge в Android отключен по умолчанию, однако производители устройств включают его в процессе производства для кастомизации операционной системы под свои продукты. Пользователи сами должны отключать его вручную.
Благодаря этому недосмотру со стороны производителей у Hide and Seek появилась дополнительная возможность заражения десятков тысяч потенциальных ботов. Большинство из них находятся в Китае и Корее.
Эксперты Bitdefender следят за активностью Hide and Seek с января нынешнего года, и пока что его единственной задачей является увеличение в размерах. Хотя вредонос способен похищать данные и выполнять код, ничего из этого он до сих пор не делал. Модуль для осуществления DDoS-атак, как правило, являющихся главным предназначением ботнетов, у Hide and Seek отсутствует.
Помимо функции заражения Android-устройств через Android, новая версия вредоноса получила возможность сохранять персистентность (оставаться на устройстве даже после перезагрузки). Итого, в настоящее время Hide and Seek способен заражать устройства путем подбора паролей Telnet, эксплуатации уязвимостей в IP-камерах и видеорегистраторах AVTECH, камерах Wansview NCS601W, а также через TCP-порт 5555, относящийся к Android Debug Bridge.