Nokia heeft een waarschuwing gegeven voor malware genaamd Katana die Android tv-boxen door middel van ADB (Android Debug Bridge) infecteert en gebruikt voor het uitvoeren van ddos-aanvallen. Wereldwijd zouden zeker 30.000 apparaten door de malware zijn besmet. ADB is een tool waarmee Android-apparaten via bijvoorbeeld een computer zijn te benaderen. Normaliter is deze service niet toegankelijk via internet. Bij de aangevallen tv-boxen is ADB wel vanaf het internet benaderbaar.
Via ADB kunnen de aanvallers de Katana-malware installeren en zijn er ook geen exploits vereist. Vervolgens voeren de aanvallers verschillende maatregelen door, zoals het koppelen van een 'locker process' aan ADP-poort 5555 en het beëindigen van nieuwe processen die niet tijdens het opstarten van het systeem aanwezig zijn. Dit moet voorkomen dat andere malware of forensische tools via de ADB-poort toegang krijgen. Verder schakelt de malware meer dan honderd systeemtools uit en remapt de ADB-poort, waardoor ook de eigenaar geen toegang meer heeft, aldus de onderzoekers.
Katana is gebaseerd op de beruchte Mirai-malware, maar wat deze malware doet verschillen van veel andere Mirai-varianten is de kernel-rootkit die op het besmette systeem ter plekke wordt gecompileerd. "Dit is ongewoon voor ddos-botnets: hoewel rootkits gebruikelijk zijn bij APT-tooling en sommige banking trojans, maken Mirai-varianten en andere IoT ddos-malware zelden gebruik van kernelmodules", aldus de onderzoekers.
Door de rootkit op het systeem te compileren worden compatibiliteitsproblemen voorkomen. Een vooraf gecompileerde kernel moet namelijk overeenkomen met de exacte kernelversie van het aangevallen systeem, die onder tv-boxes en firmware builds kunnen verschillen. Om dit probleem te ondervangen maakt de malware gebruik van de TinyCC compiler en rootkit broncode om vervolgens op basis van de aanwezige kernelinformatie de rootkit ter plekke op de tv-box te compileren en installeren.
De rootkit verbergt bestanden, directories en processen voor ls en ps. Daarnaast voorkomt de rootkit het uitschakelen van de malware en het verwijderen van malware bestanden en directories. Het Katana-botnet heeft ddos-aanvallen uitgevoerd die opliepen tot 150 Gbps. Volgens de onderzoeker gaat het waarschijnlijk om een "ddos-for-hire service", waarbij afnemers tegen betaling ddos-aanvallen op doelen kunnen laten uitvoeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
