Эксперты компании Trend Micro сообщают о новом ботнете, который превращает мобильные устройства в майнинговых рабов, используя при этом сразу три вектора: открытые отладочные порты Android Debug Bridge (ADB), протокол SSH и список known_hosts.
Заражение происходит следующим образом: хотя по умолчанию ADB отключен на большинстве устройств на Android, некоторые гаджеты все же поставляются с включенным ADB (чаще всего на порту 5555). Без прохождения аутентификации, злоумышленники получают возможность удаленно подключиться к уязвимому устройству и получить доступ к командной оболочке ADB, которая обычно используется для установки и отладки приложений.
Аналогичным образом ADB ранее использовали ботнеты Trinity и Fbot (АКБ ранее писало об истории их захватывающего противостояния ).
К настоящему моменту новый мобильный ботнет уже распространился в 21 стране мира, больше всего пострадавших находится в Южной Корее. Пейлоадом ботнет выбирает в каждом конкретном случае один из трех майнеров, в зависимости от того, кто является производителем пораженной системы, какая в ней используется архитектура, тип процессора и какое аппаратное обеспечение. Для оптимизации майнинговой активности вредонос также «прокачивает» память машины-жертвы, включая HugePages.
Хуже того, вредонос также обладает потенциалом червя и распространяется через SSH (SSH — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений. Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли.).
На практике, любая система, которая подключалась к первоначальной системе-жертве посредством SSH, скорее всего, была сохранена как «известное устройство». То есть, после первоначального обмена ключами две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации, ведь каждая система считает другую безопасной. Чем и злоупотребляет описанная аналитиками Trend Micro малварь, пока не проявляющая в атаках функционала червя (но, видимо, ненадолго).
Читайте также на АКБ другие актуальные материалы о ботнетах сегодня:
Echobot: наследник ботнета Mirai атакует по 26 направлениям
Новый ботнет атакует 1,5 млн систем через удаленный рабочий стол Windows
Как Google победил 21-миллионный ботнет, о котором вы даже не слышали
