Een Internet of Things-botnet dat eerst ip-camera's en andere systemen infecteerde heeft het nu ook op Android-apparaten voorzien die via de Android Debug Bridge (ADB) toegankelijk zijn. ADB is een tool om Android-apparaten bijvoorbeeld via een computer mee te benaderen. Normaliter is het niet toegankelijk via internet, maar er zijn apparaten waarbij dit wel het geval is.

Bijvoorbeeld omdat de fabrikant het heeft ingeschakeld, aldus anti-virusbedrijf Bitdefender. Deze apparaten zijn via poort 5555 toegankelijk en maken het mogelijk voor malware om het systeem te infecteren. Om verbinding met het apparaat te maken zijn geen inloggegevens vereist en kan een aanvaller shell access krijgen. Daardoor kunnen aanvallers nagenoeg alle taken als beheerder uitvoeren, zo stelt onderzoeker Liviu Arsene. Het "Hide and Seek" botnet maakt nu van deze mogelijkheid gebruik om verder te groeien.

"Het blootstellen van dit protocol over het internet zonder authenticatie is onbegrijpelijk en zorgwekkend. Het is geen kwetsbaarheid in het Android-besturingssysteem, maar eerder een feature die de fabrikant is vergeten uit te schakelen bij het leveren van apparaten", aldus Arsene. Hoewel Android-apparaten al langere tijd via ADB worden aangevallen is er nog geen oplossing voor verschenen. Via de zoekmachine Shodan werden zo'n 40.000 Android-apparaten gevonden die via ADB toegankelijk zijn. Het gaat zowel om smartphones als televisies en videorecorders waar ADB staat ingeschakeld.