Botnet增加了尽可能多的设备类型

自从今年早些时候发现以来，隐藏和寻求物联网僵尸网络一直在增加其感染能力的新载体。最新示例查找启用了无线调试功能的Android设备。

虽然IoT僵尸网络每天都会出现并消失，但Hide＆Seek在短短几天内就通过快速增长到超过90,000台设备而引起了人们的关注。

在最新版本中观察到的新感染机制没有利用漏洞，而是对设备的错误配置，这些设备通过WiFi提供有效的Android Debug Bridge连接。

默认情况下，Android已关闭此选项，但设备制造商在生产阶段启用它以定制其产品的操作系统。用户必须手动激活它。

成千上万的设备遭到感染

通过利用设备制造商的这种监督，Hide and Seek将其扩展到数以万计的潜在机器人。

自1月10日以来，Bitdefender的安全研究人员一直在跟踪僵尸网络，并监控新版本中添加的新功能。

“新发现的样本通过Android设备中的Wi-Fi功能利用Android调试桥（ADB）来增加功能，开发人员通常使用这些功能进行故障排除，” 高级电子威胁分析师Liviu Arsene 说。

利用开放的ADB连接并不新鲜。它在2月份首次报道了一个掉线加密货币矿工的僵尸网络。

根据Bitdefender的说法，Hide and Seek可以为其机器人军队添加4万台新设备，其中大部分位于中国台湾，韩国和中国。

增长似乎是目前的目标

在与BleepingComputer的对话中，Bitdefender的首席安全研究员Alex Balan表示，僵尸网络目前的目的似乎是增加其规模，仅此而已。

虽然它支持数据泄露和代码执行的命令，但研究人员还没有看到它们被僵尸网络使用。此外，没有用于启动分布式拒绝服务攻击的模块，这是僵尸网络货币化的主要方法。

Botnet增加了尽可能多的设备类型

从一开始，Hide and Seek很清楚它并不关心它感染的设备类型。它首先针对IP摄像头，然后扩展到DVR，NVR和IPTV盒。现在Android设备也在它的视野中。

它的开发人员为多种架构编译了二进制文件，包括MIPS，ARM，Motorola 68020，SuperH，PowerPC，x86和x64。他们还开发了一种自定义P2P机制 来与其他受感染系统进行通信。

此外，恶意软件还添加了持久性功能，这使其能够在受感染的路由器上重新启动。

Hide and Seek现在使用的感染媒介包括telnet扫描和暴力破解，利用AVTECH IP Camera，NVR和DVR中的漏洞; 利用Wansview NCS601W相机中的漏洞，扫描特定于ADB连接的开放TCP端口5555，Arsene确认BleepingComputer。