TrendMicro обнаружила вредоносное ПО для майнинга Криптo , поражающее устройства Android

Обнаружен новый ботнет для майнинга криптовалюты, использующий порты Android Debug Bridge — системы, предназначенной для устранения дефектов приложений, установленных на большинстве телефонов и планшетов Android.

По данным Trend Micro, вредоносное ПО ботнета было обнаружено в 21 стране и наиболее распространено в Южной Корее.

Атака использует тот факт, что открытые порты ADB T требуют аутентификации по умолчанию, и после установки она предназначена для распространения на любую систему, которая ранее использовала SSH-подключение. SSH-подключения подключают широкий спектр устройств — от мобильных устройств до гаджетов Интернета вещей (IoT), — то есть многие продукты уязвимы.

«Будучи известным устройством, две системы могут взаимодействовать друг с другом без какой-либо дальнейшей аутентификации после первоначального обмена ключами, каждая система считает другую безопасной», — говорят исследователи. «Наличие механизма распространения может означать, что эта вредоносная программа может злоупотреблять широко используемым процессом создания SSH-подключений».

Он начинается с IP-адреса.

45[.]67[.]14[.]179 поступает через ADB и использует командную оболочку для обновления рабочего каталога до «/data/local/tmp», поскольку файлы .tmp часто имеют разрешение по умолчанию на выполнение команд.

Как только бот определяет, что он вошел в ловушку, он использует команду wget для загрузки полезной нагрузки трех разных майнеров и curl, если wget отсутствует в зараженной системе.

Вредоносная программа определяет, какой майнер лучше всего подходит для эксплуатации уязвимости жертвы, в зависимости от производителя системы, архитектуры, типа процессора и оборудования.

Затем выполняется дополнительная команда chmod 777 a.sh для изменения настроек разрешений вредоносного дропа. Наконец, бот скрывает себя от хоста с помощью другой команды rm -rf a.sh* для удаления загруженного файла. Это также скрывает след того, откуда возникла ошибка, когда она распространяется на других жертв.

Исследователи изучили скрипт вторжения и определили три потенциальных майнера, которые могут быть использованы в атаке (все они доставляются с одного и того же URL-адреса):

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

Они также обнаружили, что скрипт увеличивает объем памяти хоста, активируя HugePages, что позволяет создавать страницы памяти, размер которых превышает размер по умолчанию, для оптимизации результатов майнинга.

Если майнеры уже используют систему, ботнет пытается сделать их URL-адрес недействительным и уничтожить их, изменив код хоста.

Пагубные и вредоносные криптомайнеры постоянно разрабатывают новые способы эксплуатации своих жертв. Прошлым летом Trend Micro наблюдала еще одну эксплуатацию ADB, которую они окрестили Satoshi Variant.

Outlaw, был замечен в последние недели, распространяя другой вариант майнинга Monero по всему Китаю посредством атак методом подбора на серверы. На тот момент исследователи T определили, начал ли ботнет операции по майнингу, но обнаружили в скрипте Android APK, что указывает на то, что устройства Android могут быть целью.

Изображение предоставлено Shutterstock.