Ботнет эксплуатирует ADB и SSH для заражения устройств на Android

Cyber space with hexadecimal code as digital background

Эксперты компании Trend Micro обнаружили новый ботнет, атакующий мобильные устройства через открытые отладочные порты Android Debug Bridge (ADB), а также используя SSH и список known_hosts.

Хотя по умолчанию ADB отключен на большинстве устройств на Android, некоторые гаджеты все же поставляются с включенным ADB (чаще всего на порту 5555). В итоге не прошедшие аутентификацию злоумышленники получают возможность удаленно подключиться к уязвимому устройству и получить доступ к командной оболочке ADB, которая обычно используется для установки и отладки приложений.

Напомню, что ранее эксперты уже обнаруживали похожие ботнеты Trinity, Fbot и ADB.Miner, которые точно так же злоупотребляли функциональностью ADB.

Теперь исследователи Trend Micro пишут, что новый мобильный ботнет уже распространился в 21 стране мира, но больше всего пострадавших находится в Южной Корее.

Во время первой фазы атаки малварь подключается к устройствам, на которых доступен ADB, и изменяет рабочий каталог на data/local/tmp. Затем вредонос проверят, не попал ли он в контролируемое окружение и не изучают ли его ИБ-эксперты. Если все в порядке, малварь скачивает полезную нагрузку при помощи wget или curl.

Пейлоадом в данном случае выступает один из трех майнеров, который малварь выбирает исходя из того, кто является производителем системы, какая в ней используется архитектура, тип процессора и какое аппаратное обеспечение. Более того, для оптимизации майнинговой активности вредонос также «прокачивает» память машины-жертвы, включая HugePages.

Хуже того, вредонос обладает потенциалом червя и распространяется через SSH. То есть любая система, которая подключалась к первоначальной системе-жертве посредством SSH, скорее всего, была сохранена как «известное устройство». Фактически это значит, что после первоначального обмена ключами две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации, ведь каждая система считает другую безопасной. Чем и злоупотребляет описанная аналитиками Trend Micro малварь.

"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."