Исследователи обнаружили новый майнинговый ботнет, атакующий устройства с открытыми портами отладочного интерфейса ADB (Android Debug Bridge) и распространяющийся с зараженных хостов на другие системы по SSH. ИБ-специалист Индржих Карасек (Jindrich Karasek) отмечает, что зловред действует на территории 21 страны, однако наиболее активен в Южной Корее.

Установив связь с уязвимым хостом, вредонос при помощи оболочки ADB изменяет рабочий каталог атакованной системы на /data/local/tmp. Таким образом он вынуждает устройство выполнять сохраненные в этой папке файлы.

Затем зловред проверяет, не попал ли он в ханипот, при помощи команды uname -m определяет тип зараженной системы и посредством утилиты Wget скачивает с сервера преступников bash-скрипт майнера. Если на устройстве нет Wget, бот использует для загрузки майнера программу cURL. Затем он выдает полезной нагрузке права на выполнение и удаляет себя, чтобы избежать обнаружения.

В зависимости от характеристик зараженной системы бот скачивает один из трех разных майнеров. В дополнение к этому он блокирует работу другого криптоджекингового ПО в системе и активирует механизм HugePages, чтобы увеличить объем выделенной памяти и повысить эффективность майнинга.

Также вредонос ищет на устройстве файл known_hosts. В нем перечислены хосты, ранее подключавшиеся к зараженному гаджету по SSH. Особенность «знакомых» систем в том, что с ними можно установить соединение, не требующее аутентификации. Бот использует открытый ключ id_rsa.pub, чтобы связаться с ними, и устанавливает в них тот же майнер, что и на зараженном через ADB устройстве.

«Хотя ADB является полезной функцией для администраторов и разработчиков, важно помнить, что включенный отладочный интерфейс может подвергать угрозе как само устройство, так и те, которые ранее к нему подключались», — отметил в своем отчете Карасек.

У большинства гаджетов с Android отладочный интерфейс отключен по умолчанию. Однако, по данным Shodan, потенциальными целями злоумышленников могут стать 13,5 тыс. подключенных к Интернету устройств с открытым ADB-портом. О том, что использование ADB опасно, эксперты говорят уже не первый год.

Впрочем, не все атакуют отладочный интерфейс исключительно с вредоносными целями. В сентябре 2018-го специалисты компании Qihoo 360 обнаружили любопытный бот, сканирующий адресное пространство в поиске хостов с открытыми ADB-портами. ПО было нацелено на смартфоны, игровые приставки и умные телевизоры. Проникая на них, программа выполняла необычную задачу — удаляла криптомайнер ADB.Miner и все связанные с ним процессы.

Категории: Аналитика, Вредоносные программы