您好!欢迎来到深圳市互联网学会官网!
首页 > 资讯中心 > 互联网要闻 > 行业快讯 > 安卓用户注意了,安全人员又发现新型加密货币挖矿僵尸网络

安卓用户注意了,安全人员又发现新型加密货币挖矿僵尸网络

  • A-
  • A+
来源:DeepTech深科技 企鹅号    2019-06-25
  • 分享

一种新型的恶意加密货币挖矿殭尸网络被侦测到通过安卓调试桥(Android Debug Bridge, ADB)的端口运作, ADB 是用来解决多数安卓手机或平板上安装的应用程序缺陷的系统。

根据趋势科技(Trend Micro)报告,这一殭尸网络恶意软件已在 21 个国家被侦测到,并在韩国最为泛滥。

(来源:Pixabay)

该攻击利用了在默认的情况下可无须认证打开 ADB 端口的方式,一旦安装该恶意软件,就会散布到先前曾与该设备共享安全外壳协议(Secure Shell, SSH)连接的任何系统。 SSH 连接会与各种设备连接——从移动电话到物联网(Internet of Things, IoT)小工具——这意味着许多产品都可能受影响。

许多研究员表示,“对设备来说, “已知”意味着两系统能在交换初始密钥后,不用额外的认证就能相互连接,系统间会默认彼此是安全的”,“这存在扩散机制,表示恶意软件能通过 SSH 连接进行广泛的滥用。”

该恶意软件以 IP 地址开始。

45[.]67[.]14[.]179 通过 ADB 端口植入,并使用 shell 指令将工作目录更新为 “/data/local/tmp”,因为 .tmp 文件通常具有执行指令的默认权限。

一旦确认成功的植入,该恶意软件就会运用 wget 指令下载三个不同矿工的有效载荷(payload),假如受感染的系统中没有 wget ,就会受影响。

恶意软件依据系统制造商、架构、程序类型和硬件来决定哪个矿工是最适合成为受害者。

然后一个附加指令 chmod 777 a.sh 会执行,更改恶意丢弃权限设置。最终,该软件运用另一个指令 rm -rf a.sh* 来隐藏自己,删除下载的文件。这也掩盖了 bug 传播到其他受害者的痕迹。

研究员检查了入侵文本并确认了在攻击中被利用的三位潜在矿工——都是通过相同的 URL 递送的,它们是:

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

研究员还发现文本通过启用 HugePages 增强主机的内存,允许大于其默认大小的内存页面来优化挖矿的输出量。

假如使用该系统的矿工被发现,殭尸网络会尝试使其 URL 废止,并通过更改主机代码来中止。

有害和恶意的加密挖矿正持续的演变出新的方式来剥削受害者。去年夏天,趋势科技观察到另一个 ADB 的利用,称之为Satoshi Variant

过去几周内,黑客组织 Outlaw 被发现通过对服务器的暴力攻击,在中国散播另一个 Monero 的挖矿病毒。当时,研究员虽无法确定殭尸网络是否已开始挖矿作业,但却在文本中发现了Android APK,表明可能是专门针对安卓的设备的。

本文版权属于 CoinDesk 中文

未经授权禁止转载

翻译:吴姿莹

责编:林佳谊

(编辑:丨本文链接:https://www.isz.org.cn/news/9/2/9985.html

深圳市互联网学会创会精神:互联网起源于美国、互联网应用在中国、中国互联网看深圳(2014年2月初注册isz.org.cn)我们带领深圳企业一起走向全中国、一起走向全世界!!!
更多学习进入互联网在线学习《互联网学会》公众号

欢迎加入学会
我们随时为您提供帮助

成为会员

热门文章

查看更多

咨询热线

0755-32875048

周一至周五 9:00-18:00

地址:深圳市龙岗区坂田街道坂田国际中心E栋二层209房

  • 深圳市互联网学会官方微博扫码加客服微信
  • 深圳市互联网学会官方微信关注微信公众号
@深圳市互联网学会 版权所有
  备案号:粤ICP备14018046号