Hjem » Nyheder » Eksperter opdagede et botnet, der udnytter ADB og SSH til at inficere Android-enheder

Eksperter opdagede et botnet, der udnytter ADB og SSH til at inficere Android-enheder

Trend Micro eksperter opdagede en ny botnet, angribe mobilenheder gennem de åbne debug havne i Android Debug Bridge (ADB), samt ved hjælp af SSH og listen over known_hosts.

ENelv ADB er deaktiveret som standard på de fleste Android-enheder, nogle gadgets stadig sælges med aktiveret ADB (oftest på Havn 5555).

”Dette angreb drager fordel af vejen åben ADB porte ikke har godkendelse som standard”, - rapport Trend Micro eksperter.

Som resultat, godkendte angribere er i stand til at oprette fjernforbindelse til en sårbar enhed og få adgang til ADB-kommando shell, som normalt bruges til at installere og debug applikationer.

minder om, eksperter har tidligere fundet lignende botnets Trinity, Fbot og ADB.Miner, som også misbrugt ADB funktionalitet.

Nu Trend Micro forskere skriver, at den nye mobile botnet allerede har bredt sig til 21 lande rundt om i verden, men de fleste af de berørte brugere er fra Sydkorea.

Infektion kæde af angrebet
Infektion kæde af angrebet

I den første fase af angrebet, malware forbindelse til enheder, som ADB er tilgængelig, og ændringer arbejder mappe til data / local / tmp. Næste, malware vil kontrollere, om det er kommet i et kontrolleret miljø, og om sikkerhedseksperter studerer det. Hvis alt er i orden, malware downloads nyttelast ved hjælp af wget eller curl.

Payload i dette tilfælde er en af ​​de tre minearbejdere, som malware vælger baseret på, hvem der er producent af systemet, som arkitektur anvendes i det, den type processor og hvilken hardware. i øvrigt, for at optimere udvindingen, malwaren også ”pumper” mindet om offerets maskine, herunder HugePages.

LÆS  Zombieload og selskab: forsker opdagede ny klasse af sårbarheder i Intel-processorer

Værre, malware har potentiale til en orm og spredes via SSH. Det er, ethvert system, der er forbundet til det oprindelige system offer via SSH blev sandsynligvis gemt som en ”kendte indretning”.

“Være en ”kendt indretning” betyder, at systemet kan kommunikere med det andet system uden yderligere godkendelse efter den indledende nøgleudveksling, dvs., hvert system anses for at være sikker. Tilstedeværelse af en spredemekanisme kan betyde, at denne malware kan misbruge udbredte fremgangsmåde til fremstilling af SSH forbindelser”, – rapporteret i Trend Micro.

Konklusion og sikkerhedsmæssige anbefalinger fra Trend Micro:

Selvom ADB er en nyttig funktion for administratorer og udviklere, Det er vigtigt at huske, at en aktiveret ADB kan udsætte enheden og dem der er forbundet til det for trusler.

Brugere kan også følge andre bedste praksis for at forsvare mod ulovlige cryptocurrency-minedrift og botnets, såsom:

  • Kontrol og ændring af standardindstillinger når det er nødvendigt for at øge sikkerheden
  • Opdatering enhedens firmware og anvende tilgængelige patches
  • At være bevidst om metoder angriberne bruge til at sprede disse typer af malware og skræddersy forsvar mod dem

Kilde: https://blog.trendmicro.com

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

Krack til Amazon Echo og Kindle

Krack sårbarhed Trusler Millioner af Amazon Echo og Kindle-enheder

Millions of 1st generation Amazon Echo smartphones and 8th generation Amazon Kindle e-books have been

Graboid spredes gennem Docker Containere

Graboid minedrift orm spreder sig via Docker containere

Palo Alto Networks experts have discovered the strange crypto-jacking worm Graboid, which spreads through the

Skriv et svar