Воскресенье - 2018-12-16 - 04:01

Майнинговый ботнет заражает устройства на Android порты ADB

Майнинговый ботнет

Самым распространенным типом угроз в 2017 году были признаны различные вирусы-шифровальщики. Однако в 2018 году наибольший акцент злоумышленники делают на криптовалюту, а также все, что связано с данной технологией. Многие преступники и хакерские группы занимаются криптоджекингом (получение криптовалюты через браузер пользователя без его согласия). Крупные ботнеты также массово переориентируются для влияния на биржевые курсы или активного распространения майнеров.

Теперь сотрудники Qihoo 360 Network Security Research Lab предупредили о появлении очередного крупного ботнета. Вредоносная сеть состоит из Android-устройств и активно расширяется. Известно, что злоумышленники сканируют сеть на наличие устройств с открытыми портами Android Debug Bridge (принято использовать сокращение ADB). Обычно это порт с кодом 5555. Сегодня ОС Android используется не только в мобильных устройствах – атакованы могут быть, к примеру, и телевизионные приставки. Вирус, получивший обозначение ADB.miner, распространяется как классический червь. Аналитики отметили, что растет сеть очень активно – каждые 12 часов среднее количество сканирований удваивается. По предварительным данным ботнет был запущен 21 января, 3 февраля был зафиксирован резкий рост активности.

На момент публикации доклада сканирование осуществлялось с 7,4 тысяч уникальных IP. Эксперты полагают, что скомпрометированы 2700-5500 устройств, большинство из которых физически находятся в Южной Корее и Китае (31% и 40% соответственно). Изучение вируса показало, что создатели утилиты ADB.miner многое позаимствовали у нашумевшей вредоносной программы Mirai. Скопировано часть исходного кода и некоторые алгоритмы работы (например, постоянное сканирование сети в поисках уязвимых устройств).

Пока специалисты не раскрывают уязвимости, которые использует вирус для получения доступа к Android-устройствам. Известно только, что речь идет не о проблеме устройств определенного производителя. Эксперты предполагают, что используется особенность работы компонента ADB. У большинства устройств данный порт по умолчанию закрыт, однако практика показывает, что количество уязвимых устройств велико.

В настоящее время вредоносный функционал ADB.miner используется для генерации криптовалюты Monero. Задействованы два разных пула, но кошелек используется один (переводы через него пока не зафиксированы).




Комментарии (0)

avatar