Nokia waarschuwt voor malware die Android tv-boxen via ADB infecteert

In dit artikel:

Nokia waarschuwt recent voor de Katana-malware die zich via een openstaande ADB‑service op Android-tv‑boxen verspreidt en de apparaten inzet voor DDoS‑aanvallen. Wereldwijd zouden zo’n 30.000 tv‑boxen geïnfecteerd zijn. De aanvallers maken geen gebruik van exploits, maar benaderen apparaten waarvan Android Debug Bridge (ADB) per ongeluk vanaf internet toegankelijk is.

Zodra toegang is verkregen, installeert Katana zichzelf en neemt verschillende verdedigingslagen in: een proces bindt zich aan ADB‑poort 5555, nieuw opstartende processen worden meteen beëindigd om concurrentie of forensische tools te blokkeren, meer dan honderd systeemtools worden uitgeschakeld en de ADB‑poort wordt zodanig geremapteerd dat ook de eigenaar geen toegang meer heeft. Uniek voor dit botnet is de kernel‑rootkit: in plaats van één vooraf gecompileerde module compileert de malware ter plekke een rootkit met behulp van de TinyCC‑compiler, zodat deze precies past bij de kernelversie van het specifieke apparaat. De rootkit verbergt bestanden, directories en processen en maakt verwijderen of uitschakelen van de malware moeilijk.

Het Katana‑botnet voerde aanvallen tot ongeveer 150 Gbps uit en lijkt te opereren als een ddos‑for‑hire‑dienst. Ter bescherming moeten gebruikers ADB uitschakelen of niet via internet bereikbaar maken, firmware updaten en geïnfecteerde toestellen terugzetten naar fabrieksinstellingen of vervangen. IoT‑apparaten met slecht beveiligde beheerinterfaces blijven een aantrekkelijk doelwit.