TrendMicro发现针对Android设备的新僵尸网络恶意软件

 
最近，TrendMicro发现了一款新智能手机和平板电脑的新僵尸网络。这个僵尸网络正在追逐设备上的Debug Bridge端口，尽管它是一个旨在修复不同基于Android的应用程序中的缺陷的系统。事实证明，僵尸网络恶意软件已经在21个不同的国家被发现，尽管看起来最普遍的位置是在韩国。
默认情况下，打开的ADB端口缺少身份验证后，此新攻击就会发生。安装恶意软件后，它将扩展到设备共享SSH连接的任何系统。这些连接链接了许多类型的设备，这意味着有许多产品存在风险。
TrendMicro的研究人员表示，“作为一个已知的设备意味着两个系统可以在初始密钥交换后无需任何进一步的身份验证即可相互通信，每个系统都认为另一个系统是安全的。传播机制的存在可能意味着此恶意软件可能滥用广泛使用的SSH连接过程。“
整个过程早在第一个IP地址开始，通过ADB到达，使用命令shell将工作目录更新为.tmp文件。在僵尸程序确定它已到达目的地之后，它使用wget命令，下载由三个独立矿工获得的有效负载。根据制造商，硬件和其他细节，恶意软件被编程为决定哪个矿工可以最好地利用受感染设备。
执行另一个命令以允许权限设置，并且机器人最终隐藏另一个命令，该命令将其从主机隐藏，删除已下载的文件。通过删除文件，首先是bug来自哪里，即使它继续用于其他受害者。
在他们的研究中，TrendMicro还发现，如果启用了HugePages，主机的内存会得到增强，因为它可以启用超过默认大小的任何内存页面。这种变化增加了采矿产量。如果已经有矿工使用它，僵尸网络会尝试使URL无效，并且他们使用主机代码来杀死它们。
加密货币挖掘的下降方式越来越多，从而创造了利用受害者获取个人利益的新方法。 TrendMicro发现了另一种使用ADB的恶意软件，称为Satoshi Variant。