Новая волна ботнетов: Katana использует руткит и ADB для захвата Android TV-боксов в мощную сеть для DDoS-атак

Ботнет Katana представляет собой развитый вариант известного Mirai, адаптированный для эксплуатации уязвимости в отладочном интерфейсе Android (Android Debug Bridge, ADB). В отличие от легитимных устройств Android TV, целевыми становятся дешёвые, часто безымянные боксы на базе открытой платформы AOSP (Android Open Source Project). Эти устройства по умолчанию могут иметь открытый ADB-порт (5555/TCP), предоставляющий неаутентифицированный root-доступ к системе из локальной сети. Злоумышленники используют подписки на так называемые резидентские прокси-сервисы, которые по сути являются легитимными пользовательскими сетями, для массового сканирования внутренних адресов и поиска таких уязвимых устройств.

Аналитики обнаружили активность Katana в марте 2026 года, оценив текущий размер ботнета как минимум в 30 000 активных устройств. Для контекста: ещё в начале 2025 года ботнет такого размера считался бы крупным событием, однако за последний год атаки через ADB нормализовали подобные масштабы. Наблюдаемый объём DDoS-атак достигает 150 Гбит/с, что указывает на серьёзную вычислительную мощность сети. Katana не имеет пересечений в коде или инфраструктуре с другим крупным ботнетом Kimwolf, но оба семейства конкурируют за один и тот же пул уязвимых устройств, что выливается в настоящую "войну за территорию" прямо на устройствах пользователей.

Техническая изощрённость Katana проявляется в нескольких аспектах. Вредоносная нагрузка поставляется внутри APK-файла, который, помимо классического DDoS-бота, содержит исходный код и компилятор для создания руткита - модуля ядра Linux. Этот модуль, компилируемый прямо на заражённом устройстве для совместимости с разными версиями Android, внедряется в ядро и перехватывает ключевые системные вызовы. Он может скрывать процессы и файлы бота от администратора, предотвращать его удаление и блокировать сигналы завершения. Такое глубокое закрепление в системе (persistence) и скрытность крайне нехарактерны для потомков Mirai, которые обычно ограничиваются простыми методами автозапуска.

Не менее агрессивно ботнет защищает свою "добычу" от конкурентов. После заражения Katana перехватывает ADB-порт 5555, переназначая его на другой номер, и блокирует доступ. Кроме того, запускается специальный процесс-"сторож", который убивает любые новые процессы, появившиеся в системе после загрузки, эффективно отсекая попытки других ботов или инструментов анализа закрепиться на устройстве. Для дополнительной защиты бот отключает более ста системных утилит (от netstat и strace до logcat), маскируя свою активность и усложняя обнаружение.

С точки зрения функционала Katana является специализированным оружием для DDoS-атак. Он поддерживает 11 различных методов атаки, включая как стандартные UDP- и TCP-флуды, так и более изощрённые протокол-специфичные атаки. Например, бот умеет генерировать трафик, имитирующий запросы к игровым серверам FiveM (используя CitizenFX API), подделывать баннеры клиента PuTTY при атаке на SSH, а также формировать корректные с точки зрения протокола запросы к MySQL, SMTP, IRC и другим сервисам. Это позволяет атакам в определённой степени обходить простые фильтры, основанные на сигнатурах невалидного трафика.

Инфраструктура управления ботнетом также демонстрирует определённый уровень развития. Три домена центра управления (C2) хранятся в бинарном файле в зашифрованном виде с использованием кастомного пятиступенчатого шифра. Четвёртый домен может динамически передаваться ботам во время работы, что позволяет операторам быстро менять точки управления в случае блокировки. Все домены указывают на хостинг-провайдеров, известных толерантным отношением к вредоносной активности.

Интересной особенностью является наличие своеобразного механизма самоуничтожения. Если связь с центром управления прерывается на трое суток, бот автоматически удаляет все свои компоненты и скрипты автозапуска с устройства, пытаясь скрыть следы. Это стандартная для подобных сетей практика, минимизирующая риск анализа.

Возникновение и эволюция Katana - закономерный этап в криминализации рынка дешёвых IoT-устройств, особенно телевизионных приставок. Низкая безопасность прошивок, отсутствие обновлений и неосведомлённость пользователей создали идеальную среду для размножения ботнетов. Владельцам таких устройств, по сути, остаётся лишь физически отключать их от интернета, когда они не используются для просмотра контента, или искать возможность отключения ADB в настройках, если она вообще предусмотрена. Для интернет-провайдеров и компаний, подвергающихся DDoS-атакам, эта тенденция означает рост мощности и изощрённости угроз, исходящих из, казалось бы, безобидных бытовых гаджетов, что требует постоянной адаптации систем защиты.

IPv4

• 45.153.34.187
• 65.222.202.53
• 72.56.52.10
• 87.121.84.74
• 91.92.241.12

Domains

• ajshgdhjfgasthjydyufasghjfdafsgudgfhjasgfjh.satyr.wtf
• iloveyourweewee.bz
• imsowiwiwiwiwi.com
• okiloveyoupleasedonttouchme.net
• satyr.wtf
• thespacemachines.st

SHA256

• 121f7a1da6b5d74209a64dfaa42f56d5ce7c52181f49fb256f8bdbdf7c00222f
• 16e3ac66f85aa3dc0f49bd6df44ae29e7512fc7e293f8e2c24bc11dcfa249a78
• 2ab6cb64f05f18b482ace03e7f41617f28bfdb8e54da7070bc183a661f104e56
• 6cc3fc0284dfe57881f5ea01dcd3cecb6c667dc8d1147b049c3d6bd661d9c906
• 809d433de87e5435b185ea908ea244cc5a070cbad23bc11c53dd214528d9bbce
• 87ec57bd8e639d5f96a17dfb73af5cc63cc528f45d4a3231e70f287e9ad38601
• 8c9ff5d82f986b9c86ff8d1a26f83a9c41e50a5f0671e2b79e13c663afb1ba20
• aaaa89488caf328bea8e56fa95cae69124a561ec97594b686c93cfdd24f13e96
• b24c9255bf3c8dc65f35d61544e1959354b74c46d4e1c99462f2f4292ee62cda
• cf173c982a341d2b14c6b024807836016a40e22ab0b6596591d98e841c24be62
• eb875810f18f42781f2958a038713156194842b5b54e9e9f57f782bd3a33b2ab