Антивирусная компания Trend Micro обнаружила ботнет для майнинга криптовалют, использующий порты Android Debug Bridge, которые предназначены для устранения дефектов приложений.

Как сообщают исследователи из Trend Micro, вредоносный ботнет обнаружен в 21 стране и наиболее распространен в Южной Корее. Авторы ПО пользуются тем, что открытые порты ADB не требуют аутентификации по умолчанию, и после установки вредоносная программа распространяется на любую систему, которая ранее использовала соединение по SSH. Отметим, что SSH использует широкий спектр устройств – от мобильных гаджетов до устройств Интернета вещей, а это означает, что многие продукты становятся восприимчивы к распространению вредоносного ПО.

«Когда устройство получает статус известного, две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации. После первоначального обмена ключами каждая система считает другую безопасной. Наличие механизма распространения может означать, что эта вредоносная программа может злоупотреблять широко используемым процессом создания SSH-соединений», – отмечают исследователи.

IP-адрес 45..67..14..179 поступает через ADB и использует командную оболочку для обновления рабочего каталога до /data/local/tmp, поскольку файлы .tmp часто имеют разрешение по умолчанию для выполнения команд. Как только бот определяет, что он вошел в honeypot, он использует команду wget, чтобы загрузить данные трех разных майнеров, при этом программа сворачивается, если wget отсутствует в зараженной системе.

Вредоносное ПО определяет, какой майнер лучше всего подходит для этого устройства в зависимости от производителя системы, архитектуры, типа процессора и другого аппаратного обеспечения. Затем выполняется дополнительная команда chmod 777 a.sh, чтобы изменить настройки разрешений для удаления исходного скрипта. Наконец, бот скрывается от хоста, используя команду rm -rf a.sh*, чтобы удалить загруженный файл. Это также скрывает след проникновения ботнета, когда он распространяется на других жертв.

Исследователи из Trend Micro изучили сценарий вторжения и определили три потенциальных майнера, которые могут быть использованы в атаке, причем все они распространяются одним и тем же URL:

http://198..98..51..104:282/x86/bash

http://198..98..51..104:282/arm/bash

http://198..98..51..104:282/aarch64/bash

Исследователи также обнаружили, что сценарий расширяет память хоста за счет включения HugePages, позволяющего страницам памяти, размер которых превышает размер по умолчанию, оптимизировать вывод данных во время майнинга. Если майнеры уже были обнаружены с помощью системы, ботнет пытается аннулировать их URL и удалить их, изменив код хоста.

Недавно Trend Micro обнаружила, что ботнет хакерской группы Outlaw распространяет ПО для майнинга Monero, а ранее компания сообщила, что уязвимость в Oracle WebLogic используется для установки вирусов-майнеров. До этого специалисты по кибербезопасности из Trend Micro сообщили об обнаружении другого вируса-майнера под названием BlackSquid.