Hjem » Nyheder » Eksperter opdagede et botnet, der udnytter ADB og SSH til at inficere Android-enheder

Eksperter opdagede et botnet, der udnytter ADB og SSH til at inficere Android-enheder

Trend Micro eksperter opdagede en ny botnet, angribe mobilenheder gennem de åbne debug havne i Android Debug Bridge (ADB), samt ved hjælp af SSH og listen over known_hosts.

ENelv ADB er deaktiveret som standard på de fleste Android-enheder, nogle gadgets stadig sælges med aktiveret ADB (oftest på Havn 5555).

”Dette angreb drager fordel af vejen åben ADB porte ikke har godkendelse som standard”, - rapport Trend Micro eksperter.

Som resultat, godkendte angribere er i stand til at oprette fjernforbindelse til en sårbar enhed og få adgang til ADB-kommando shell, som normalt bruges til at installere og debug applikationer.

minder om, eksperter har tidligere fundet lignende botnets Trinity, Fbot og ADB.Miner, som også misbrugt ADB funktionalitet.

Nu Trend Micro forskere skriver, at den nye mobile botnet allerede har bredt sig til 21 lande rundt om i verden, men de fleste af de berørte brugere er fra Sydkorea.

Infektion kæde af angrebet
Infektion kæde af angrebet

I den første fase af angrebet, malware forbindelse til enheder, som ADB er tilgængelig, og ændringer arbejder mappe til data / local / tmp. Næste, malware vil kontrollere, om det er kommet i et kontrolleret miljø, og om sikkerhedseksperter studerer det. Hvis alt er i orden, malware downloads nyttelast ved hjælp af wget eller curl.

Payload i dette tilfælde er en af ​​de tre minearbejdere, som malware vælger baseret på, hvem der er producent af systemet, som arkitektur anvendes i det, den type processor og hvilken hardware. i øvrigt, for at optimere udvindingen, malwaren også ”pumper” mindet om offerets maskine, herunder HugePages.

LÆS  Microsoft IE11 vulnerability is more dangerous than it seemed as browser Edge is also sensitive to it

Værre, malware har potentiale til en orm og spredes via SSH. Det er, ethvert system, der er forbundet til det oprindelige system offer via SSH blev sandsynligvis gemt som en ”kendte indretning”.

“Være en ”kendt indretning” betyder, at systemet kan kommunikere med det andet system uden yderligere godkendelse efter den indledende nøgleudveksling, dvs., hvert system anses for at være sikker. Tilstedeværelse af en spredemekanisme kan betyde, at denne malware kan misbruge udbredte fremgangsmåde til fremstilling af SSH forbindelser”, – rapporteret i Trend Micro.

Konklusion og sikkerhedsmæssige anbefalinger fra Trend Micro:

Selvom ADB er en nyttig funktion for administratorer og udviklere, Det er vigtigt at huske, at en aktiveret ADB kan udsætte enheden og dem der er forbundet til det for trusler.

Brugere kan også følge andre bedste praksis for at forsvare mod ulovlige cryptocurrency-minedrift og botnets, såsom:

  • Kontrol og ændring af standardindstillinger når det er nødvendigt for at øge sikkerheden
  • Opdatering enhedens firmware og anvende tilgængelige patches
  • At være bevidst om metoder angriberne bruge til at sprede disse typer af malware og skræddersy forsvar mod dem

Kilde: https://blog.trendmicro.com

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

Emotet trojan

Global Threat Indeks: Emotet botnet suspenderet sine aktiviteter

Check Point Research hold (en division af Check Point) published a Global Threat

wordpress

Sårbarhed i plugin til WordPress lov til at eksekvere PHP-kode via fjernadgang

Information security specialists from Wordfence have found the vulnerability of the Ad Inserter plugin for

Skriv et svar