近期,TrendMicro检测到一种新的数字资产恶意挖矿软件,它利用AndroidDebugBridge端口的漏洞来做恶。该软件针对大多数Android手机和平板电脑上安装的应用程序缺陷。
报道说,该恶意软件已经散布到了21个国家和地区,并且在韩国最为普遍。
这一恶意攻击利用了在默认情况下,打开ADB端口不需要身份验证,并且一旦安装就会扩展到以前共享SSH连接的任何系统的漏洞。 SSH连接各种设备,从移动设备到物联网(IoT)小程序,这意味着许多产品都容易受到影响。
研究人员说:
“作为一种已知设备,意味着两个系统可以在初始的密钥交换后,无需进一步的认证就可以相互通信,这样每个系统都认为另一个系统是安全的。传播机制的存在可能意味着,这种恶意软件可能会滥用广泛使用的SSH连接而加大做恶机会。”
这一切都以一个IP地址作为开端。
IP地址45[.]67[.]14[.]179通过ADB进入系统,并使用commandshell将工作目录更新为“/data/local/tmp”,因为.tmp文件通常具有执行命令的默认权限。
一旦恶意软件确定它黑进了系统,它就会使用wget命令下载三个不同矿工的有效载荷,如果受感染的系统中没有wget,它就会进行Curl的指令。
恶意软件根据系统的制造商、架构、处理器类型和硬件确定运行的挖矿软件。
研究人员检查了入侵脚本并确定了可以在攻击中使用的三个潜在矿工。这三个潜在矿工的URL为:
http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash
他们还发现这一脚本,通过启用HugePages来增强主机的内存。HugePages允许大于其默认大小的内存页面来优化挖矿输出。
如果矿工已经在使用该系统,则恶意软件会尝试使其URL无效化,并通过更改主机代码来终止它们。
恶意攻击正在不断发展,他们的受害者也逐渐增加。去年夏天开始,TrendMicro观察到另一个恶意攻击,他们称之为SatoshiVariant。
PotterLi 作者
Roy 排版
内容仅供参考不作为投资建议风险自担
版权所有未经允许严禁转载
TrendMicro 检测到针对安卓设备的新型恶意挖矿软件.jpg
| 
立即注册
登录
