Поділитися цією статтею
BTC
$82,114.59
+
0.52%ETH
$1,559.33
-
2.12%USDT
$0.9994
-
0.00%XRP
$2.0093
+
0.31%BNB
$582.27
+
0.91%SOL
$118.24
+
4.26%USDC
$0.9999
-
0.00%DOGE
$0.1582
+
1.25%TRX
$0.2372
-
1.43%ADA
$0.6236
+
0.47%LEO
$9.4034
-
0.09%LINK
$12.50
+
1.14%AVAX
$19.10
+
5.32%HBAR
$0.1719
-
0.82%TON
$2.9268
-
2.53%XLM
$0.2340
+
0.04%SUI
$2.1862
+
1.01%SHIB
$0.0₄1203
+
0.62%OM
$6.3752
-
3.50%BCH
$302.98
+
2.76%Зареєструватися
- Повернутися до менюЦіни
- Повернутися до менюдослідження
- Повернутися до менюКонсенсус
- Повернутися до менюСпонсорський матеріал
- Повернутися до меню
- Повернутися до меню
- Повернутися до меню
- Повернутися до менюВебінари та Заходи
TrendMicro виявляє зловмисне програмне забезпечення для майнінгу Крипто , яке впливає на пристрої Android
Ботнет входить через порт Android Debug Bridge і поширюється через SSH.
Було виявлено новий ботнет для майнінгу криптовалюти, який використовує порти Android Debug Bridge, систему, розроблену для усунення дефектів програм, встановлених на більшості телефонів і планшетів Android.
Як повідомляє Trend Micro, зловмисне програмне забезпечення ботнету було виявлено в 21 країні і найбільше поширене в Південній Кореї.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Daybook Americas вже сьогодні. Переглянути Всі Розсилки
Атака використовує те, що відкриті порти ADB T вимагають автентифікації за замовчуванням, і після встановлення призначена для поширення на будь-яку систему, яка раніше використовувала з’єднання SSH. З’єднання SSH з’єднує широкий спектр пристроїв – від мобільних до гаджетів Інтернету речей (IoT), тобто багато продуктів є чутливими.
«Будучи відомим пристроєм, дві системи можуть спілкуватися одна з одною без будь-якої подальшої автентифікації після початкового обміну ключами, кожна система вважає іншу безпечною», — кажуть дослідники. «Наявність механізму розповсюдження може означати, що це зловмисне програмне забезпечення може зловживати широко використовуваним процесом встановлення з’єднань SSH».
Він починається з IP-адреси.
45[.]67[.]14[.]179 надходить через ADB і використовує командну оболонку для оновлення робочого каталогу до "/data/local/tmp", оскільки файли .tmp часто мають дозвіл за замовчуванням на виконання команд.
Коли бот визначає, що він увійшов у honeypot, він використовує команду wget, щоб завантажити корисне навантаження трьох різних майнерів, і керує, якщо wget немає в зараженій системі.
Зловмисне програмне забезпечення визначає, який майнер найкраще підходить для експлуатації жертви залежно від виробника системи, архітектури, типу процесора та апаратного забезпечення.
Потім виконується додаткова команда, chmod 777 a.sh, щоб змінити параметри дозволу шкідливого відкидання. Нарешті, бот приховує себе від хоста за допомогою іншої команди, rm -rf a.sh*, щоб видалити завантажений файл. Це також приховує слід того, звідки походить жучок, коли він поширюється на інших жертв.
Дослідники вивчили сценарій вторгнення та визначили три потенційні майнери, які можуть бути використані в атаці – усі доставлені за однією URL-адресою – це:
http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash
Вони також виявили, що сценарій покращує пам’ять хоста, увімкнувши HugePages, що дозволяє оптимізувати вихід майнінгу для сторінок пам’яті, розмір яких перевищує стандартний розмір.
Якщо майнери вже знайдені за допомогою системи, ботнет намагається зробити їх URL-адресу недійсною та вбити їх, змінивши код хоста.
Шкідливі та зловмисні криптомайнінгові програми постійно розробляють нові способи використання своїх жертв. Минулого літа Trend Micro спостерігала ще один експлойт ADB, який вони назвали варіантом Satoshi.
Останніми тижнями було помічено, що Outlaw поширює ще один варіант майнінгу Monero по всьому Китаю за допомогою атак грубої сили на сервери. На той момент дослідники T визначили, чи почав ботнет майнінг, але знайшли в сценарії Android APK, що вказує на те, що цільовими можуть бути пристрої Android.
Зображення через Shutterstock.
