TrendMicro 检测到针对安卓设备的新型恶意挖矿软件

近期，TrendMicro 检测到一种新的数字资产恶意挖矿软件，它利用 Android Debug
Bridge 端口的漏洞来做恶。该软件针对大多数 Android 手机和平板电脑上安装的应用程序缺陷。

报道说，该恶意软件已经散布到了 21 个国家和地区，并且在韩国最为普遍。

这一恶意攻击利用了在默认情况下，打开 ADB 端口不需要身份验证，并且一旦安装就会扩展到以前共享 SSH 连接的任何系统的漏洞。
SSH 连接各种设备，从移动设备到物联网（IoT）小程序，这意味着许多产品都容易受到影响。

研究人员说：

“作为一种已知设备，意味着两个系统可以在初始的密钥交换后，无需进一步的认证就可以相互通信，这样每个系统都认为另一个系统是安全的。传播机制的存在可能意味着，这种恶意软件可能会滥用广泛使用的 SSH 连接而加大做恶机会。”

这一切都以一个 IP 地址作为开端。

IP 地址 45 [.] 67 [.] 14 [.] 179 通过 ADB 进入系统，并使用 command shell 将工作目录更新为“/ data /
local / tmp”，因为 .tmp 文件通常具有执行命令的默认权限。

一旦恶意软件确定它黑进了系统，它就会使用 wget 命令下载三个不同矿工的有效载荷，如果受感染的系统中没有 wget，它就会进行 Curl 的指令。

恶意软件根据系统的制造商、架构、处理器类型和硬件确定运行的挖矿软件。

研究人员检查了入侵脚本并确定了可以在攻击中使用的三个潜在矿工。这三个潜在矿工的 URL 为：

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

他们还发现这一脚本，通过启用 HugePages 来增强主机的内存。HugePages 允许大于其默认大小的内存页面来优化挖矿输出。

如果矿工已经在使用该系统，则恶意软件会尝试使其 URL 无效化，并通过更改主机代码来终止它们。

恶意攻击正在不断发展，他们的受害者也逐渐增加。去年夏天开始，TrendMicro 观察到另一个恶意攻击，他们称之为 Satoshi Variant。

Potter Li 作者

   Roy   **排版**

内容仅供参考 不作为投资建议 风险自担

版权所有 未经允许 严禁转载