Пятница - 2018-06-22 - 04:30

Smart-телевизоры и Android-устройства уязвимы для майнера

Китайские исследователи сообщили об активности вредоносной утилиты Android.CoinMine.15 (другое название ADB.miner). Эксперты отметили высокую скорость распространения вируса – на момент публикации количество зараженных Android-устройств удваивалось каждые сутки. Сотрудники «Доктор Веб» считают, что большая часть скомпрометированных устройств – «умные» телевизоры. Именно эти устройства обычно используют постоянное подключение к сети при помощи технологии ADB.

Данный вирус атакует только различные устройства на базе Android и способен проникать в систему без участия пользователя. Для заражения необходимо наличие открытого порта 5555, который обычно и используется отладчиком Debug Bridge. Атакованными могут быть и другие устройства, допускающие отладку по сети – планшеты, ТВ-приставки, роутеры, смартфоны, ресиверы, медиаплееры. Потенциально уязвимым устройством является также популярный одноплатный компьютер Raspberry Pi 3, в котором также используется Android.

Распространяется вирус по следующей схеме. С зараженного ранее устройства инсталлируется утилита droidbot.apk, также загружаются файлы sss, bot.dat и nohup. Далее при помощи утилиты nohup осуществляется запуск файла sss, который извлекает из файла bot.dat остальные компоненты вредоносной программы. Кроме прочего, извлекаются файл конфигурации (формат JSON), экземпляр троянского приложения droidbot и два майнера (32- и 64-разрядный). После запуска droidbot стартует непрерывный цикл генерации случайного IP с последующей попыткой подключения к порту 5555.

Если подключение удается, вирус осуществляет попытку инфицировать новое устройство через интерфейс ADB. Параллельно запускается майнер, предназначенный для генерации криптовалюты Monero. Основные признаки заражения устройства вирусом Android.CoinMine.15 – нагрев устройства, снижение быстродействия и резкое сокращение времени автономной работы.

В Android параметры по умолчанию подразумевают отключение отладчика ADB, однако некоторые производители устройств оставляют данный компонент включенным. В некоторых случаях ADB активируют сами пользователи – например, режим отладки используют разработчики ПО.



Читайте также

Комментарии (0)

avatar