Natukoy ng TrendMicro ang Crypto Mining Malware na Nakakaapekto sa Mga Android Device

May nakitang bagong botnet sa pagmimina ng cryptocurrency na nagsasamantala sa mga Android Debug Bridge port, isang system na idinisenyo upang lutasin ang mga depekto sa app na naka-install sa karamihan ng mga Android phone at tablet.

Ang botnet malware, gaya ng iniulat ng Trend Micro, ay natukoy sa 21 bansa at pinakakaraniwan sa South Korea.

Sinasamantala ng pag-atake ang paraan ng pagbukas ng mga ADB port ay T nangangailangan ng pagpapatunay bilang default, at kapag na-install ay idinisenyo upang kumalat sa anumang system na dati nang nagbahagi ng koneksyon sa SSH. Ang mga koneksyon sa SSH ay nagkokonekta ng malawak na hanay ng mga device – lahat mula sa mobile hanggang sa Internet of Things (IoT) na mga gadget – ibig sabihin ay maraming produkto ang madaling kapitan.

"Ang pagiging isang kilalang aparato ay nangangahulugan na ang dalawang mga sistema ay maaaring makipag-usap sa isa't isa nang walang anumang karagdagang pagpapatunay pagkatapos ng paunang palitan ng susi, ang bawat sistema ay isinasaalang-alang ang isa pa bilang ligtas," sabi ng mga mananaliksik. "Ang pagkakaroon ng kumakalat na mekanismo ay maaaring mangahulugan na maaaring abusuhin ng malware na ito ang malawakang ginagamit na proseso ng paggawa ng mga koneksyon sa SSH."

Nagsisimula ito sa isang IP address.

45[.]67[.]14[.]179 ay dumarating sa pamamagitan ng ADB at ginagamit ang command shell upang i-update ang gumaganang direktoryo sa "/data/local/tmp,” dahil ang mga .tmp file ay kadalasang may default na pahintulot na magsagawa ng mga command.

Kapag natukoy na ng bot na nakapasok ito sa isang honeypot, ginagamit nito ang wget command para i-download ang payload ng tatlong magkakaibang minero, at curl kung wala ang wget sa infected na system.

Tinutukoy ng malware kung aling minero ang pinakaangkop na pagsamantalahan ang biktima depende sa tagagawa, arkitektura, uri ng processor, at hardware ng system.

Ang isang karagdagang utos, chmod 777 a.sh, ay isinasagawa upang baguhin ang mga setting ng pahintulot ng malisyosong drop. Sa wakas, itinatago ng bot ang sarili nito mula sa host gamit ang isa pang command, rm -rf a.sh*, upang tanggalin ang na-download na file. Itinatago din nito ang landas kung saan nagmula ang bug habang kumakalat ito sa iba pang mga biktima.

Sinuri ng mga mananaliksik ang invading script at natukoy ang tatlong potensyal na minero na maaaring magamit sa pag-atake - lahat ay inihatid ng parehong URL - ay:

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

Nalaman din nila na pinahusay ng script ang memorya ng host sa pamamagitan ng pagpapagana sa HugePages, na nagbibigay-daan sa mga pahina ng memorya na mas malaki kaysa sa default na laki nito, upang i-optimize ang output ng pagmimina.

Kung ang mga minero ay nahanap na gamit ang system ang botnet ay nagtatangkang magpawalang-bisa sa kanilang URL at patayin sila sa pamamagitan ng pagbabago ng host code.

Ang mga nakapipinsala at nakakahamak na cryptomining drop ay patuloy na nagbabago ng mga bagong paraan upang pagsamantalahan ang kanilang mga biktima. Noong nakaraang tag-araw, naobserbahan ng Trend Micro ang isa pang pagsasamantala ng ADB na tinawag nilang Satoshi Variant.

Outlaw, ay nakita noong mga nakaraang linggo na nagkakalat ng isa pang variant ng pagmimina ng Monero sa buong China sa pamamagitan ng malupit na pag-atake laban sa mga server. Sa panahong T natutukoy ng mga mananaliksik kung nagsimula na ang botnet sa mga operasyon ng pagmimina, ngunit nakakita ng Android APK sa script, na nagsasaad na maaaring ma-target ang mga Android device.

Larawan sa pamamagitan ng Shutterstock.