Experten entdeckten ein Botnetz, die zur Infektion von Android-Geräten ADB und SSH nutzt

Trend Micro Experten entdeckten ein neues Botnetz, Angriff auf mobile Geräte durch den offenen Debug-Ports der Android Debug Bridge (ADB), sowie unter Verwendung von SSH und die Liste der known_hosts.

EINbwohl ADB ist standardmäßig auf den meisten Android-Geräten deaktiviert, einige Gadgets noch mit aktivierter ADB verkauft (am häufigsten auf Hafen 5555).

„Dieser Angriff nutzt die Art und Weise offen ADB-Ports haben keine Authentifizierung standardmäßig“, - Bericht Trend Micro Experten.

Als Ergebnis, authentifizierter Angreifer sind in der Lage zu einem verwundbaren Gerät aus der Ferne zu verbinden und den Zugriff auf ADB Kommando-Shell erhalten, die in der Regel zu installieren und Debuggen von Anwendungen verwendet.

Hinweis, Experten haben ähnliche Botnets zuvor gefunden Dreieinigkeit, Fbot und ADB.Miner, die auch missbraucht ADB-Funktionalität.

Nun haben Forscher von Trend Micro sind schriftlich, dass das neue mobile Botnet bereits verbreitet 21 Länder auf der ganzen Welt, aber die Mehrheit der betroffenen Nutzer aus Südkorea.

Infektionskette des Angriffs
Infektionskette des Angriffs

Während der ersten Phase des Angriffs, Malware-Verbindung zu Geräten, auf die ADB ist verfügbar, und Änderungen Arbeitsverzeichnis data / local / tmp. Nächster, Malware wird überprüfen, ob es in einer kontrollierten Umgebung erhalten hat und ob Sicherheitsexperten studieren es. Wenn alles in Ordnung ist, Malware-Downloads Nutzlast mit wget oder curl.

Nutzlast in diesem Fall ist eine der drei Bergleute, die Malware wählt basierend auf, wer der Hersteller des Systems, und die Architektur ist in es eingesetzt, der Prozessortyp und welche Hardware. Außerdem, um die Bergbauaktivitäten zu optimieren, die Malware „pumpt“ auch die Erinnerung an die Opfer Maschine, einschließlich Hugepages.

Schlechter, die Malware hat das Potenzial, ein Wurm und verbreitet sich über SSH. Das ist, jedes System, das auf die ursprüngliche Opfer System über SSH verbunden wurde als wahrscheinlich gerettet „bekannte Vorrichtung“.

“a „bekannte Vorrichtung“ zu sein, bedeutet, dass das System mit dem anderen System ohne weitere Authentifizierung nach dem anfänglichen Schlüsselaustausch kommunizieren kann,, d.h., jedes System betrachtet, sicher zu sein. Das Vorhandensein eines Spreizmechanismus kann bedeuten, dass diese Malware das weit verbreitete Verfahren zur Herstellung von SSH missbrauchen kann Verbindungen“, – in Trend Micro berichtet.

Fazit und Empfehlungen zur Sicherheit von Trend Micro:

Obwohl ADB ist eine nützliche Funktion für Administratoren und Entwickler, es ist wichtig, dass ein aktiviertes ADB erinnern könnte das Gerät und diejenigen, um es zu Bedrohungen verbunden aussetzen.

Benutzer können auch für die Verteidigung gegen illegale Kryptowährung-Bergbau und Botnets andere Best Practices folgen, sowie:

  • Überprüfen und Ändern der Standardeinstellung bei Bedarf zur Erhöhung der Sicherheit
  • Aktualisierung der Geräte-Firmware und die Anwendung verfügbaren Patches
  • Die Kenntnis von Methoden Angreifer nutzen diese Arten von Malware und Schneiderei Abwehr gegen sie zu verbreiten

Quelle: https://blog.trendmicro.com

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"