Эксперты компании Trend Micro обнаружили новый ботнет, атакующий мобильные устройства через открытые отладочные порты Android Debug Bridge (ADB), а также используя SSH и список known_hosts.
Хотя по умолчанию ADB отключен на большинстве устройств на Android, некоторые гаджеты все же поставляются с включенным ADB (чаще всего на порту 5555). В итоге не прошедшие аутентификацию злоумышленники получают возможность удаленно подключиться к уязвимому устройству и получить доступ к командной оболочке ADB, которая обычно используется для установки и отладки приложений.
Напомню, что ранее эксперты уже обнаруживали похожие ботнеты Trinity, Fbot и ADB.Miner, которые точно так же злоупотребляли функциональностью ADB.
Теперь исследователи Trend Micro пишут, что новый мобильный ботнет уже распространился в 21 стране мира, но больше всего пострадавших находится в Южной Корее.
Во время первой фазы атаки малварь подключается к устройствам, на которых доступен ADB, и изменяет рабочий каталог на data/local/tmp. Затем вредонос проверят, не попал ли он в контролируемое окружение и не изучают ли его ИБ-эксперты. Если все в порядке, малварь скачивает полезную нагрузку при помощи wget или curl.
Пейлоадом в данном случае выступает один из трех майнеров, который малварь выбирает исходя из того, кто является производителем системы, какая в ней используется архитектура, тип процессора и какое аппаратное обеспечение. Более того, для оптимизации майнинговой активности вредонос также «прокачивает» память машины-жертвы, включая HugePages.
Хуже того, вредонос обладает потенциалом червя и распространяется через SSH. То есть любая система, которая подключалась к первоначальной системе-жертве посредством SSH, скорее всего, была сохранена как «известное устройство». Фактически это значит, что после первоначального обмена ключами две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации, ведь каждая система считает другую безопасной. Чем и злоупотребляет описанная аналитиками Trend Micro малварь.
