Следующая новость
Предыдущая новость

Ботнет эксплуатирует ADB и SSH для заражения устройств на Android

24.06.2019 22:33
Ботнет эксплуатирует ADB и SSH для заражения устройств на Android

Рекомендуем почитать:

Xakep #242. Фаззинг

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты компании Trend Micro обнаружили новый ботнет, атакующий мобильные устройства через открытые отладочные порты Android Debug Bridge (ADB), а также используя SSH и список known_hosts.

Ботнет эксплуатирует ADB и SSH для заражения устройств на Android

Хотя по умолчанию ADB отключен на большинстве устройств на Android, некоторые гаджеты все же поставляются с включенным ADB (чаще всего на порту 5555). В итоге не прошедшие аутентификацию злоумышленники получают возможность удаленно подключиться к уязвимому устройству и получить доступ к командной оболочке ADB, которая обычно используется для установки и отладки приложений.

Напомню, что ранее эксперты уже обнаруживали похожие ботнеты Trinity, Fbot и ADB.Miner, которые точно так же злоупотребляли функциональностью ADB.

Теперь исследователи Trend Micro пишут, что новый мобильный ботнет уже распространился в 21 стране мира, но больше всего пострадавших находится в Южной Корее.

Во время первой фазы атаки малварь подключается к устройствам, на которых доступен ADB, и изменяет рабочий каталог на data/local/tmp. Затем вредонос проверят, не попал ли он в контролируемое окружение и не изучают ли его ИБ-эксперты. Если все в порядке, малварь скачивает полезную нагрузку при помощи wget или curl.

Пейлоадом в данном случае выступает один из трех майнеров, который малварь выбирает исходя из того, кто является производителем системы, какая в ней используется архитектура, тип процессора и какое аппаратное обеспечение. Более того, для оптимизации майнинговой активности вредонос также «прокачивает» память машины-жертвы, включая HugePages.

Хуже того, вредонос обладает потенциалом червя и распространяется через SSH. То есть любая система, которая подключалась к первоначальной системе-жертве посредством SSH, скорее всего, была сохранена как «известное устройство». Фактически это значит, что после первоначального обмена ключами две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации, ведь каждая система считает другую безопасной. Чем и злоупотребляет описанная аналитиками Trend Micro малварь.

Источник

Последние новости