Uma nova botnet identificada como xlabs_v1 foi descoberta explorando dispositivos Android com a porta do Android Debug Bridge (ADB) exposta na internet para comprometer servidores de Minecraft e oferecer serviços de DDoS. A operação, analisada pela Hunt.io, representa uma evolução do malware Mirai, adaptada para o mercado de jogos e serviços de ataque como serviço (DDoS-for-hire).
Descoberta e escopo da operação
Analistas da Hunt.io identificaram a operação no início de abril de 2026 durante monitoramento rotineiro de netblocks de hospedagem bulletproof. Uma ferramenta de diretório aberto, chamada AttackCapture, sinalizou um diretório exposto em um servidor hospedado na Holanda, sem autenticação necessária. O toolkit acessível publicamente incluía dois binários ELF, payloads de infecção, credenciais de proxy e um placeholder de alvo.
A comparação cruzada de um binário de produção ARM32 com uma versão de desenvolvimento não despojada permitiu que os analistas recuperassem o domínio C2, o identificador do operador e o token de autenticação. O operador por trás da xlabs_v1 opera sob o apelido "Tadashi", um valor criptografado dentro de cada build do bot. Toda a operação reside em um único netblock /24 de hospedagem offshore na Holanda (AS214472).
Mecanismo de infecção e evasão
A botnet visa qualquer dispositivo conectado à internet que execute ADB na porta TCP 5555, incluindo caixas de TV Android, set-top boxes, smart TVs, roteadores residenciais e hardware IoT que vem com ADB habilitado por padrão. Uma vez que o atacante ganha acesso pela porta ADB aberta, o binário do bot é silenciosamente descartado no diretório /data/local/tmp/ do dispositivo, executado e o dispositivo se junta a uma frota crescente usada para ataques DDoS pagos.
Após a infecção, o bot bloqueia o sinal SIGINT para impedir que o processo de lançamento o interrompa, captura uma tag de vetor de infecção de um argumento de inicialização e, em seguida, zera esse argumento para que não possa ser visto nas listagens de processo padrão. O bot criptografa sua tabela de strings internas usando criptografia ChaCha20, que contém o domínio C2, o identificador do operador e o token de autenticação.
Para evadir detecções, o bot sobrescreve seu nome de processo com /bin/bash usando uma chamada de sistema, fazendo com que pareça um processo de shell normal para qualquer administrador verificando processos em execução. Ele então se desanexa da sessão do terminal, fecha todos os handles de entrada e saída padrão e executa silenciosamente em segundo plano.
Vetor de ataque e infraestrutura C2
O bot se conecta ao seu servidor C2 em xlabslover[.]lol sobre a porta TCP 35342, enviando uma mensagem de registro com o nome do host do dispositivo, contagem de CPU, tamanho de RAM e token de autenticação por build. Se a conexão de saída falhar, ele abre um ouvinte de fallback na porta TCP 26721, perfurando o firewall usando cinco caminhos iptables diferentes para manter o canal de reentrada do operador aberto.
Antes de estabelecer a comunicação C2, a xlabs_v1 escaneia processos em execução e mata qualquer malware concorrente que encontre, incluindo um bot rival com código fixo na porta TCP 24936. Uma rotina de perfilamento de largura de banda também abre 8.192 sockets paralelos para o servidor Speedtest mais próximo, medindo a capacidade de upload para que o operador possa precificar dispositivos infectados para clientes.
Impacto operacional e mitigação
A botnet foca na interrupção de servidores de jogos, com uma variante de inundação RakNet dedicada especificamente para atacar servidores de Minecraft. O servidor de distribuição até serve o binário do bot sobre a porta TCP 25565, a porta padrão do servidor de Minecraft. Isso permite que os atacantes se misturem ao tráfego legítimo e facilitem a propagação.
Defensores são aconselhados a desabilitar o ADB em todos os dispositivos Android e IoT voltados para a internet. Bloquear conexões de saída para a porta TCP 35342, monitorar processos /bin/bash executando sem um terminal de controle e verificar arquivos em /data/local/tmp/arm7 são medidas críticas. Qualquer tráfego de saída para xlabslover[.]lol ou pool[.]hashvault[.]pro deve ser tratado como sinal de infecção ativa.
Análise técnica detalhada
A evolução do Mirai para focar em ADB exposto demonstra a adaptação dos criminosos a vetores de ataque mais acessíveis. A exploração de portas de depuração em dispositivos IoT é um problema crônico, muitas vezes deixado habilitado por fabricantes para facilitar atualizações, mas que se torna uma porta de entrada crítica. A criptografia ChaCha20 e a ofuscação de processos indicam um nível de sofisticação acima da média para botnets de IoT, sugerindo recursos dedicados.
Perguntas frequentes
Como verificar se meu dispositivo está infectado?
Verifique processos em execução por nomes suspeitos como /bin/bash sem terminal associado e tráfego de rede para domínios desconhecidos.
Devo desabilitar o ADB?
Sim, se você não for um desenvolvedor que precisa de depuração remota. Para usuários comuns, o ADB deve estar desabilitado.
Qual a severidade deste ataque?
Alta, pois explora uma configuração padrão comum em IoT e permite ataques DDoS diretos contra serviços de jogos populares.