Matryosh: Neues Botnet nimmt Android-Geräte ins Visier

Der chinesische Sicherheitsanbieter Qihoo 360 warnt vor einer neuen Malware-Kampagne, die sich gegen Android-Geräte richtet. Ziel ist der Aufbau eines Botnets, über das DDoS-Angriffe ausgeführt werden. Das Matryosh genannte Botnetz nutzt zu diesem Zweck eine von Geräteherstellern “eingerichtete” Sicherheitslücke.

Die Matryosh-Angriffe erfolgen über eine aktive Android Debug Bridge, die über den Port 5555 aus dem Internet heraus erreichbar ist. Dabei handelt es sich um ein Diagnose- und Debug-Interface, dass eigentlich ab Werk inaktiv sein sollte. Betroffen sind nicht nur Smartphones und Tablets, sondern auch andere smarte Geräte wie Fernseher und Set-Top-Boxen, die auf Android aufbauen.

Dem Bericht von Qihoo 360 zufolge ist Matryosh nur ein Beispiel aus einer Serie von Malware-Familien, die die Android Debug Bridge (ADB) ins Visier nehmen. Weitere Beispiele sind demnach ADB.Miner, Ares, IPStorm, Fbot und Trinity.

Allerdings verfüge Matryosh über eine Besonderheit, so die Forscher weiter. Das Botnet nutze Tor-Netzwerk und einen mehrstufigen Prozess, um seine Befehlsserver zu verbergen. Davon leiteten die Forscher auch den Namen des Botnets ab: Matryoshka ist die englischsprachige Bezeichnung für die russischen Matroschka-Puppen.

Die Forscher gehen außerdem davon aus, dass die Hintermänner bereits über Erfahrung beim Aufbau von Botnetzen verfügen. Es gebe Hinweise auf Verbindungen zu den Botnets Mootbot und LeetHozer, die ebenfalls für DDoS-Attacken entwickelt worden seien.

Nutzer können sich vor diesen Angriffen schützen, indem sie die Einstellungen der Android Debug Bridge in den Entwickleroptionen prüfen – die allerdings ab Werk in den Android-Einstellungen deaktiviert sind. Zudem gibt es bei vielen smarten Android-Geräten wie Fernsehern unter Umständen keine Option zur Aktivierung der Entwicklereinstellungen und somit auch keine Möglichkeit, eine aktive Android Debug Bridge auszuschalten.