Eksperter opdagede et botnet, der udnytter ADB og SSH til at inficere Android-enheder

Trend Micro eksperter opdagede en ny botnet, angribe mobilenheder gennem de åbne debug havne i Android Debug Bridge (ADB), samt ved hjælp af SSH og listen over known_hosts.

ENelv ADB er deaktiveret som standard på de fleste Android-enheder, nogle gadgets stadig sælges med aktiveret ADB (oftest på Havn 5555).

”Dette angreb drager fordel af vejen åben ADB porte ikke har godkendelse som standard”, - rapport Trend Micro eksperter.

Som resultat, godkendte angribere er i stand til at oprette fjernforbindelse til en sårbar enhed og få adgang til ADB-kommando shell, som normalt bruges til at installere og debug applikationer.

minder om, eksperter har tidligere fundet lignende botnets Trinity, Fbot og ADB.Miner, som også misbrugt ADB funktionalitet.

Nu Trend Micro forskere skriver, at den nye mobile botnet allerede har bredt sig til 21 lande rundt om i verden, men de fleste af de berørte brugere er fra Sydkorea.

Infektion kæde af angrebet
Infektion kæde af angrebet

I den første fase af angrebet, malware forbindelse til enheder, som ADB er tilgængelig, og ændringer arbejder mappe til data / local / tmp. Næste, malware vil kontrollere, om det er kommet i et kontrolleret miljø, og om sikkerhedseksperter studerer det. Hvis alt er i orden, malware downloads nyttelast ved hjælp af wget eller curl.

Payload i dette tilfælde er en af ​​de tre minearbejdere, som malware vælger baseret på, hvem der er producent af systemet, som arkitektur anvendes i det, den type processor og hvilken hardware. i øvrigt, for at optimere udvindingen, malwaren også ”pumper” mindet om offerets maskine, herunder HugePages.

Værre, malware har potentiale til en orm og spredes via SSH. Det er, ethvert system, der er forbundet til det oprindelige system offer via SSH blev sandsynligvis gemt som en ”kendte indretning”.

“Være en ”kendt indretning” betyder, at systemet kan kommunikere med det andet system uden yderligere godkendelse efter den indledende nøgleudveksling, dvs., hvert system anses for at være sikker. Tilstedeværelse af en spredemekanisme kan betyde, at denne malware kan misbruge udbredte fremgangsmåde til fremstilling af SSH forbindelser”, – rapporteret i Trend Micro.

Konklusion og sikkerhedsmæssige anbefalinger fra Trend Micro:

Selvom ADB er en nyttig funktion for administratorer og udviklere, Det er vigtigt at huske, at en aktiveret ADB kan udsætte enheden og dem der er forbundet til det for trusler.

Brugere kan også følge andre bedste praksis for at forsvare mod ulovlige cryptocurrency-minedrift og botnets, såsom:

  • Kontrol og ændring af standardindstillinger når det er nødvendigt for at øge sikkerheden
  • Opdatering enhedens firmware og anvende tilgængelige patches
  • At være bevidst om metoder angriberne bruge til at sprede disse typer af malware og skræddersy forsvar mod dem

Kilde: https://blog.trendmicro.com

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

MageCart på Heroku Cloud Platform

Forskere har fundet flere MageCart Web Forplove On Heroku Cloud Platform

Forskere ved Malwarebytes rapporteret om at finde flere MageCart web skummere på Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware masker som en Android chat applikation

Trend Micro eksperter opdagede malware CallerSpy, hvilke masker som en Android chat program og, …

Skriv et svar