移动僵尸网络专注于破坏Android设备

一个新的僵尸网络通过滥用Android调试桥(ADB)和SSH来控制新的Android设备进入其网络。

趋势科技观察到的僵尸网络恶意软件已经扩散到21个国家，目前在韩国最为普遍。

虽然许多Android设备默认禁用ADB开发人员功能和命令行工具，因为它用于调试应用程序，这不是普通Android用户所需的功能，但某些设备启用了此功能，这可能会打开智能手机和平板电脑可以利用。

研究人员表示，专门从事加密货币挖掘的僵尸网络滥用了开放式ADB端口没有认证强制作为默认设置这一事实。如果以类似于Satori僵尸网络的方式打开通道，新的恶意软件将从受感染的主机传播到之前共享SSH连接的任何易受攻击的系统。

在感染链的开头，IP地址45[。]67[。]14[。]179将连接到运行ADB的设备，并使用ADB命令shell将系统的工作目录调整为“/data/local/TMP“。此修改基于以下事实：.tmp文件通常具有默认执行权限。

然后，僵尸网络将执行一系列扫描并分析目标系统是否为蜜罐-安全研究人员正在等待对威胁进行逆向工程-以及确定何种操作系统到位了。

然后启动命令wget以下载恶意软件有效负载。如果wget失败，则使用curl。执行附加命令chmod777a.sh以更改恶意有效负载的权限设置，然后执行进一步的命令以移除恶意软件的dropper的痕迹。

有效载荷本身一旦从攻击者的服务器中撤出，就允许僵尸网络根据受害者系统的制造商，架构，处理器类型和硬件选择三个潜在矿工中的一个。

所有三名矿工都在同一个域上。

恶意软件的一个有趣特性是能够使HugePages提高系统支持大于默认通常允许的页面的容量。通过这样做，这可能会增加可以执行多少非法加密货币挖掘。

此外，恶意软件将修改设备的hosts文件以阻止竞争的矿工。

僵尸网络使用的传播系统并不新鲜，但很难预防。恶意软件通过SSH传播，根据趋势科技的说法，“任何连接到原始受害者的系统都是通过SSH攻击的，可能已被列为其操作系统上的”已知“设备。”

这可能包括其他移动设备或物联网(IoT)产品。

“作为一种已知设备意味着两个系统可以在初始密钥交换后无需进一步认证就可以相互通信，每个系统都认为另一个系统是安全的，”研究人员说。“传播机制的存在可能意味着这种恶意软件可能会滥用广泛使用的SSH连接过程。”

在安装完成并且矿工正在努力工作之后，恶意软件将尝试传播到其他设备，并且还将继续删除其有效载荷以试图在雷达下飞行。

移动恶意软件的威胁一直在稳步增长，威胁行为者不断发展他们的技术来破坏我们的设备。

最近几周，另一个名为Outlaw的网络攻击小组被发现通过对服务器的暴力攻击在中国传播加密货币采矿僵尸网络。但是，对恶意软件代码的检查显示，尚未使用的AndroidAPK可能会暗示Android设备将来会出现在僵尸网络的目标列表中。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！