Новый ботнет зомбирует смартфоны через ADB и SSH

Опубликовано at 16:50
125 0

Эксперты компании Trend Micro сообщают о новом ботнете, который превращает мобильные устройства в майнинговых рабов, используя при этом сразу три вектора: открытые отладочные порты Android Debug Bridge (ADB), протокол SSH и список known_hosts.

Заражение происходит следующим образом: хотя по умолчанию ADB отключен на большинстве устройств на Android, некоторые гаджеты все же поставляются с включенным ADB (чаще всего на порту 5555). Без прохождения аутентификации, злоумышленники получают возможность удаленно подключиться к уязвимому устройству и получить доступ к командной оболочке ADB, которая обычно используется для установки и отладки приложений.

Аналогичным образом ADB ранее использовали ботнеты Trinity и Fbot (АКБ ранее писало об истории их захватывающего противостояния).

К настоящему моменту новый мобильный ботнет уже распространился в 21 стране мира, больше всего пострадавших находится в Южной Корее. Пейлоадом ботнет выбирает в каждом конкретном случае один из трех майнеров, в зависимости от того, кто является производителем пораженной системы, какая в ней используется архитектура, тип процессора и какое аппаратное обеспечение. Для оптимизации майнинговой активности вредонос также «прокачивает» память машины-жертвы, включая HugePages.

Хуже того, вредонос также обладает потенциалом червя и распространяется через SSH (SSH — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений. Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли.).

На практике, любая система, которая подключалась к первоначальной системе-жертве посредством SSH, скорее всего, была сохранена как «известное устройство». То есть, после первоначального обмена ключами две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации, ведь каждая система считает другую безопасной. Чем и злоупотребляет описанная аналитиками Trend Micro малварь, пока не проявляющая в атаках функционала червя (но, видимо, ненадолго).

Читайте также на АКБ другие актуальные материалы о ботнетах сегодня:

Echobot: наследник ботнета Mirai атакует по 26 направлениям

Новый ботнет атакует 1,5 млн систем через удаленный рабочий стол Windows

Как Google победил 21-миллионный ботнет, о котором вы даже не слышали

Подписываемся, следим @CyberAgency

Related Post

Сердце тьмы: 200 даркнет-серверов нашли в бывшем бункере НАТО

Опубликовано - 30.09.2019 0
Картина, потрясающая воображение: хостинг нелегальных центров даркнета располагался в крепости, достойной доктора Зло. 200 серверов так называемого «пуленепробиваемого» хостинг-провайдера располагались…