TrendMicro обнаруживает вредоносное ПО, влияющее на устройства Android

  • HLCS 

Источник · Перевод автора

Обнаружен новый ботнет по майнингу криптовалюты, использующий порты Android Debug Bridge — систему, предназначенную для устранения дефектов приложений, установленных на большинстве телефонов и планшетов на платформе Android.

Вредоносная программа ботнета, как сообщает Trend Micro, обнаружена в 21 стране и наиболее распространена в Южной Корее.

Атака использует преимущество того, что открытые порты ADB не требуют аутентификации по умолчанию, и после установки она предназначена для распространения на любую систему, которая ранее использовала соединение SSH. Соединения SSH соединяют широкий спектр устройств — от мобильных устройств до гаджетов Интернета вещей (IoT), что означает, что многие продукты восприимчивы.

«Быть известным устройством означает, что две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации после первоначального обмена ключами, каждая система считает другую безопасной», — говорят исследователи. «Наличие механизма распространения может означать, что эта вредоносная программа может злоупотреблять широко используемым процессом создания SSH-соединений».

Начинается с IP-адреса.

45[.]67[.]14[.]179 поступает через ADB и использует командную оболочку для обновления рабочего каталога до «/ data / local / tmp», поскольку файлы .tmp часто имеют разрешение по умолчанию для выполнения команд.

Как только бот определит, что он вошел в honeypot, он использует команду wget, чтобы загрузить полезную нагрузку трех разных майнеров, и прокручивает, если wget отсутствует в зараженной системе.

Вредоносное ПО определяет, какой майнер лучше всего подходит для эксплуатации жертвы, в зависимости от производителя системы, архитектуры, типа процессора и аппаратного обеспечения.

Затем выполняется дополнительная команда chmod 777 a.sh, чтобы изменить настройки разрешений для вредоносного удаления. Наконец, бот скрывается от хоста, используя другую команду, rm -rf a.sh *, чтобы удалить загруженный файл. Это также скрывает след, откуда возникла ошибка, когда она распространяется на других жертв.

Исследователи изучили сценарий вторжения и определили три потенциальных майнера, которые могут быть использованы в атаке — все они доставляются по одному URL-адресу:

http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash

Они также обнаружили, что сценарий расширяет память хоста за счет включения HugePages, который позволяет страницам памяти, размер которых превышает размер по умолчанию, оптимизировать вывод данных.

Если майнеры уже найдены с помощью системы, ботнет пытается аннулировать их URL и уничтожить их, изменив код хоста.

Пагубные и злонамеренные капли криптомининга постоянно разрабатывают новые способы эксплуатации своих жертв. Прошлым летом Trend Micro наблюдал еще одно использование ADB, которое они назвали Вариантом Сатоши.

В последние недели был объявлен вне закона, распространяющий еще один вариант добычи Monero по всему Китаю с помощью грубых атак на серверы. В то время исследователи не определили, начал ли ботнет майнинг-операции, но обнаружили в скрипте Android APK, указывающий, что устройства Android могут быть целевыми.