Cercetătorii în domeniul securității cibernetice au descoperit un botnet motivat comercial, numit xlabs_v1, care preia controlul dispozitivelor Android expuse pe internet prin intermediul serviciului Android Debug Bridge (ADB), recrutându-le într-o rețea capabilă să lanseze atacuri de tip distributed denial-of-service (DDoS) de amploare împotriva serverelor de gaming.
O operațiune DDoS-for-Hire construită pe Mirai
Firma de informații despre amenințări Hunt.io a dezvăluit pentru prima dată botnet-ul pe 28 aprilie, după descoperirea unui build de depanare expus pe un server găzduit în Olanda. Programul malițios derivat din Mirai vizează orice dispozitiv cu ADB activat pe portul TCP 5555 — un instrument de diagnosticare destinat dezvoltării, care vine activat implicit pe multe cutii Android TV, set-top box-uri, televizoare inteligente și routere rezidențiale.
Potrivit analizei Hunt.io, botnet-ul suportă 21 de variante de atac de tip flood prin protocoalele TCP, UDP și raw, inclusiv atacuri de tip flood RakNet concepute pentru serverele Minecraft și trafic UDP modelat după OpenVPN, construit pentru a ocoli protecțiile DDoS de nivel consumer. Operațiunea este comercializată ca serviciu DDoS-for-hire cu prețuri diferențiate în funcție de lățimea de bandă, permițând clienților plătitori să inunde serverele de jocuri la cerere. „Codul sursă xlabs_v1 se citește mai degrabă ca un produs comercial bine definit, decât ca un derivat oportunist din Mirai”, a declarat Hunt.io în raportul său.
Tehnici sofisticate și o suprafață de atac masivă
Operatorul botnet-ului, cunoscut sub pseudonimul „Tadashi”, a construit un sistem care profilează lățimea de bandă a fiecărui dispozitiv compromis prin deschiderea a 8.192 de socket-uri TCP și raportarea vitezelor de încărcare înapoi la panoul de comandă, găzduit la xlabslover[.]lol. Acest lucru îi permite operatorului să atribuie niveluri de prețuri în funcție de capacitatea dispozitivului.
Odată instalat prin comenzi ADB shell în /data/local/tmp, malware-ul elimină botnet-urile concurente prin scanarea proceselor active, se maschează drept /bin/bash pentru a evita detectarea și își rezolvă infrastructura de comandă și control prin OpenNIC DNS pentru reziliență. Șirurile de caractere sensibile sunt criptate cu ChaCha20, deși cercetătorii au observat că pot fi recuperate cu ușurință din cauza reutilizării cheilor. Suprafața potențială de atac este vastă. Hunt.io a identificat peste 4 milioane de dispozitive cu portul TCP 5555 expus în ultimele șase luni.
Momentul este semnificativ: Google a dezvăluit CVE-2026-0073 în buletinul de securitate din mai, o vulnerabilitate de severitate ridicată ce permite ocolirea autentificării în mecanismul de autentificare mutuală wireless al ADB, afectând Android 14 până la 16, ceea ce ar putea extinde și mai mult numărul de dispozitive vulnerabile.
Apărarea împotriva amenințărilor bazate pe ADB
Experții în securitate recomandă dezactivarea ADB pe toate dispozitivele expuse la internet, blocarea conexiunilor de ieșire către portul TCP 35342 și monitorizarea proceselor neautorizate din /data/local/tmp. Organizațiile ar trebui, de asemenea, să trateze orice trafic de ieșire către domeniul C2 cunoscut sau către pool-urile de mining asociate drept indicatori ai unui compromis activ.
Descoperirea vine pe fondul unui tipar de rețele botnet care vizează ADB, inclusiv botnet-ul Kimwolf, dezvăluit în ianuarie, care a infectat peste două milioane de dispozitive Android prin tehnici similare. Împreună, aceste campanii evidențiază modul în care configurațiile implicite deficitare ale hardware-ului IoT de consum continuă să ofere un teren fertil operatorilor de botnet-uri care urmăresc să monetizeze dispozitivele compromise la scară largă.
Surse: https://thehackernews.com/2026/05/mirai-based-xlabsv1-botnet-exploits-adb.html
From Android TVs to routers: the xlabs_v1 Mirai-based botnet built for DDoS attacks
New xlabs_v1 Botnet Targets Minecraft Servers Through ADB-Exposed Android Devices