Hide and Seek, ein neues IoT-Botnet, das Anfang Januar vom Bitdefender Honeypot-System entdeckt wurde, hat schnell unrühmliche Bekanntheit erlangt. Innerhalb weniger Tage hat es über 90.000 Geräte in einem großen Botnet gesammelt. Die erste Variante führte Brute-Force-Angriffe über den Telnet-Dienst durch, um sich in Geräte zu booten. Später kamen durch Updates der Malware neue Command Injection Exploits für die Web-Schnittstelle eines Geräts hinzu, die die Angriffsoptionen des Botnets auf IPTV-Kameras erweiterten.

Vor Kurzem kamen neue Tricks bei Hide and Seek ans Licht: Durch Nutzung der ADB-over-Wi-Fi-Schnittstelle (ADB = Android-Debug-Bridge) in Android-Geräten, die Entwickler gewöhnlich zur Fehlerbehebung verwenden, erhält das Botnet neue Zugriffsmöglichkeiten. Obwohl diese Funktion eigentlich standardmäßig deaktiviert ist, werden einige Android-Geräte mit aktiviertem Gerät ausgeliefert. Dies kann eine Remote-Verbindung über die ADB-Schnittstelle etablieren, die über den TCP-Port 5555 zugänglich ist. Diese Remote-Verbindung zum Gerät ist nicht authentifiziert und ermöglicht einen Shell-Zugang, sodass Angreifer praktisch jede Aufgabe im Administratormodus ausführen können.

Die Offenlegung dieses Protokolls über das Internet ohne Authentifizierung bezeichnen die Bitdefender-Experten als „verblüffend und störend zugleich“ – es handele sich um keine Schwachstelle im Android-Betriebssystem selbst, sondern um eine Funktion, die der Hersteller beim Versand von Geräten wahrscheinlich einfach vernachlässigt hat.

Die Angreifbarkeit von Android-Geräten über die ADB-over-Wi-Fi-Funktion wurde Anfang Juni publik, ist jedoch noch nicht behoben. Den Fehler hat Anfang Juni erstmals ein Kryptowährungs-Miner ausgenutzt. Angreifer können Funktionen mit nicht authentifizierten „root“- oder Administratormodus-Privilegien auf Geräten im Hintergrund installieren und ausführen.

Sicher ist laut Bitdefender, dass nicht nur auf Android-basierende Smartphones betroffen sind, sondern auch Smart TVs und praktisch jedes andere Gerät, das ADB per WLAN aktiviert hat. Angesichts dieser Erkenntnisse werde deutlich, dass die Betreiber von Hide and Seek ihrer Malware ständig neue Funktionen hinzufügen, um so viele Geräte wie möglich zu missbrauchen. Gleichzeitig bleibe der wahre Zweck von Hide and Seek bislang unbekannt.

Weitere Informationen zu den aktuellen Erkenntnissen zu Hide and Seek finden sich auf dem Bitdefender Labs Blog unter labs.bitdefender.com/2018/09/hide-and-seek-iot-botnet-learns-new-tricks-uses-adb-over-internet-to-exploit-thousands-of-android-devices/.

Dr. Jörg Schröper ist Chefredakteur der LANline.