Обнаружен новый ботнет для майнинга криптовалюты, использующий порты Android Debug Bridge - систему, предназначенную для устранения дефектов приложений, установленных на большинстве телефонов и планшетов на платформе Android.
Вредоносная программа, как сообщает Trend Micro, обнаружена в 21 стране и наиболее распространена в Южной Корее.
Атака использует преимущество того, что открытые порты ADB не требуют аутентификации по умолчанию, и после установки она предназначена для распространения на любую систему, которая ранее использовала соединение SSH.
Соединения SSH соединяют широкий спектр устройств - от мобильных устройств до гаджетов Интернета вещей (IoT), что означает, что многие продукты восприимчивы к вредоносному ПО. Исследователи поясняют:
Быть «известным устройством» означает, что две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации после первоначального обмена ключами, каждая система считает другую безопасной. Наличие механизма распространения может означать, что эта вредоносная программа может злоупотреблять широко используемым процессом создания SSH-соединений.
Начинается с IP-адреса 45 [.] 67 [.] 14 [.] 179 поступает через ADB и использует командную оболочку для обновления рабочего каталога до «/ data / local / tmp», поскольку файлы .tmp часто имеют разрешение по умолчанию для выполнения команд.
Как только бот определит, что он вошел в honeypot, он использует команду wget, чтобы загрузить полезную нагрузку трех разных майнеров, и прокручивает, если wget отсутствует в зараженной системе.
Вредоносное ПО определяет, какой майнинг лучше всего подходит для эксплуатации жертвы, в зависимости от производителя системы, архитектуры, типа процессора и аппаратного обеспечения.
Затем выполняется дополнительная команда chmod 777 a.sh, чтобы изменить настройки разрешений для подключающегося вируса-майнера. Наконец, бот скрывается от хоста, используя другую команду, rm -rf a.sh *, чтобы удалить загруженный файл. Это также скрывает след, откуда возникла ошибка, когда она распространяется на других жертв.
Исследователи изучили сценарий вторжения и определили три потенциальных майнера, которые могут быть использованы в атаке - все они доставляются по одному URL-адресу:
http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash
Они также обнаружили, что сценарий расширяет память хоста за счет включения HugePages, который позволяет страницам памяти, размер которых превышает размер по умолчанию, оптимизировать вывод данных.
Если майнеры уже найдены с помощью системы, ботнет пытается аннулировать их URL и убить их, изменив код хоста.
Пагубные и злонамеренные капли криптомининга постоянно разрабатывают новые способы эксплуатации устройств своих жертв. Прошлым летом Trend Micro наблюдал еще одно использование ADB, которое они назвали Satoshi Variant.