IoT-Botnetz Ares ADB infiziert Android-Set-Top-Boxen
Das IoT-Botnetz Ares ADB soll sich auf multimedialen Android-Geräten breit machen und deren Rechenpower für Krypto-Mining missbrauchen.
Offensichtlich vergessen viele Hersteller von Set-Top-Boxen auf Android-Basis die Android-Debug-Bridge-Funktion (ADB) abzuschalten, bevor die Geräte in den Verkauf gehen. Über diesen Fernwartungsmechanismus soll die Botnetz-Malware Ares ADB nun gehäuft Geräte infizieren – darunter auch Android TVs.
Darauf sind Sicherheitsforscher von WootCloud gestoßen – sie haben ihre Erkenntnisse in einem Blog-Beitrag festgehalten. Über ADB kann man Debuggen, aber je nach Konfiguration auch aus der Ferne auf Geräte zugreifen. Dafür lauschen Geräte auf Port 5555 – und genau dieser ist WootCloud zufolge oft aktiv. Davon sind unter anderem Geräte der Hersteller Cubetek, HiSilicon und Qezy Media betroffen.
Die Drahtzieher hinter der Ares-ADB-Kampagne sollen mit der Rechenleistung des Botnetzes unter anderem Krypto-Währung schürfen und Passwörter erraten (Brute-Force-Attacken).
Verbreitung
Ihnen zufolge scannen Angreifer gezielt nach dem Port und halten Ausschau nach unsicher konfigurierten Geräten ohne Authentifizierungsmechanismen. Offenbar ist diese Suche ziemlich ergiebig. Ares ADB soll aber auch Funktionen zum Knacken von Passwörtern mitbringen.
Ist ein Gerät assimiliert, soll die Ares-ADB-Malware nach weiteren, infizierbaren Geräten scannen und gegebenenfalls auch dort zuschlagen. Wie viele Geräte weltweit infiziert sind, ist zum jetzigen Zeitpunkt aber nicht bekannt. Weitere technische Details führen die Sicherheitsforscher in ihrem Beitrag aus.
Die IoT-Seuche
Das problematischste an der ganzen Sache ist aber ein grundlegendes Problem: Der Großteil der IoT-Geräte wird in seinem gesamten Lebenszyklus niemals Sicherheitsupdates zu Gesicht bekommen. Selbst wenn man den Schädling vom Gerät runter putzen könnte, würde umgehend eine neue Infektion stattfinden, da die Schwachstelle immer noch besteht. Demzufolge ist die Wahrscheinlichkeit ziemlich hoch, dass viele Nutzer unwissentlich verwundbare oder sogar verseuchte IoT-Geräte besitzen.
Da die Hersteller hier offensichtlich versagen, müsste eigentlich eine gesetzlich verankerte Update-Pflicht erlassen werden. Im März 2019 hat das EU-Parlament den Entwurf für einen "CybersecurityAct" befürwortet. Um ein entsprechendes Gütesiegel zu erhalten, müssen die Hersteller Mindeststandards rund um die Sicherheit der Produkte und Angebote einhalten. Das ist begrüßenswert. Was aber letztlich daraus wird, muss man abwarten.
Hier hilft aber auch kein Patch
In diesem konkreten Fall würde ein Sicherheitsupdate aber gar nicht helfen, vielmehr müssten die Hersteller Fernwartungszugänge ab Werk deaktivieren. Aber auch Nutzer sollten im Allgemeinen Geräte nicht ohne triftigen Grund und vor allem nicht ungesichert über das Internet erreichbar machen. (des)