当心：针对Android设备的新Matryosh DDoS僵尸网络

一场新生的恶意软件运动被发现将Android设备纳入僵尸网络，其主要目的是实施分布式拒绝服务（DDoS）攻击。

奇虎360的Netlab研究人员称之为“Matryosh”，最新的威胁是发现重复使用Mirai僵尸网络框架，并通过暴露的Android调试桥（ADB）接口传播，从而感染Android设备并将其诱捕到其网络中。

ADB是Android SDK的一个命令行工具部分，用于处理通信，并允许开发人员在Android设备上安装和调试应用程序。

虽然在大多数Android智能手机和平板电脑上默认关闭此选项，但一些供应商在出厂时启用了此功能，从而允许未经验证的攻击者通过5555 TCP端口远程连接，并直接打开设备进行攻击。

这不是僵尸网络第一次利用ADB感染易受攻击的设备。

在2018年7月，开放的ADB端口被用来传播多个SATORI僵尸网络变种，包括FBOT，一年后，发现了一个新的隐写挖掘僵尸网络恶意软件，利用同一接口攻击韩国、台湾、香港和中国的Android设备用户。

但让Matryosh脱颖而出的是，它使用Tor来掩盖其恶意活动，并通过网络从攻击者控制的服务器中获取命令。

Netlab的研究人员说：“获得C2的过程是分层嵌套的，就像俄罗斯的嵌套娃娃一样。”。

为了实现这一点，Matryosh首先解密远程主机名，并使用DNS TXT请求—；一种资源记录—；获取TOR C2和TOR代理。随后，它与TOR代理建立连接，并通过代理与TOR C2服务器通信，并等待服务器的进一步指示。

Netlab研究人员表示，新兴僵尸网络的命令格式及其对TOR C2的使用与Moobot group开发的另一个名为LeetHozer的僵尸网络非常相似。

研究人员总结道：“基于这些考虑，我们推测Matryosh是这一父群体的新作品。”。