恶意软体利用 Android 手机跟平板漏洞,用你的手机帮骇客挖矿

恶意软体利用 Android 手机跟平板漏洞,用你的手机帮骇客挖矿

跨国软体公司 Trend Micro(趋势科技)监测到新的僵尸挖矿软体。这种新的僵尸软体利用安卓(Android)手机和平板电脑应用程式的装置端口漏洞进行攻击。目前已经在 21 个国家发现这种恶意攻击软体,尤其在韩国更是严重。

 

Android Debug Bridge(ADB)命令列工具是 Android 软体开发工具(Android SDK ),可以用来处理装置间的通讯,也让开发人员可以在Android装置上执行和除错应用程式。而这次的恶意攻击就是利用 ADB 的漏洞。

这次攻击利用了在连接 ADB 端口时不须验证的漏洞安装僵尸软体,且一旦安装以后就会自动扩算制安全外壳协定(Secure Shell,SSH)¹之前连接的所有系统,从移动设备到物联网的工具(Internet of Thing,IoT),这意味着受影响的产品众多。

[注*1]安全外壳协定(Secure Shell,SSH)是加密网路传输协定,可在不安全的网路中提供安全的传输环境。SSH 透过在网路中建立安全隧道,以实践 SSH 用户端和伺服器的连接。而 SSH 最常见的用途是远端登入系统,用户通常利用 SSH 来传输命令列介面和远端执行命令。

根据趋势科技的说法:

之前 SSH 连接的系统表示之前两个系统之间在一开始密钥交换之后,就已经认证可以相互通讯,每个系统都认为另一个系统是安全的。而像这种恶意疃以就是利用 SSH 的连结过程散播。

这类的恶意程式码 45[.]67[.]14[.]179 经由 ADB 连线植入脚本,并加工作目录更新为「/ data / local / tmp」,因为「.tmp」的文件通常有执行明令的默认权限。

而若是这类的恶意程式确定进入了系统的诱捕系统(Honeypot)²,它就会使用 wget ³下载三个僵尸挖矿软体的有效载荷(payload),而如果系统中没有 wget,恶意程式会执行 curl 下载有效载荷。

而恶意程式会根据受害者系统的类型、架构、处理器、硬体确定要使用何种僵尸挖矿软体,紧接着,恶意程式会执行附加命令 chmod 777 a.sh 以更改「删除恶意软体」的权限,最后,会执行 rm -rf a.sh * 命令,将僵尸挖矿软体隐闭起来,不让系统发现,而这样也会让这个恶意程式扩散到其他系统。

而如果已经确定了受害者系统最适合的僵尸挖矿软体,恶意程式会更改主机的 Hostcode,终止其他两个僵尸挖矿软体。更糟糕的是,研究人员还发现这些恶意程式会启用 HugePages 来撑强主机的内存,优化挖矿输出。

[注*2]:诱捕系统(Honeypot),其设计目的为布署让攻击者攻陷之假系统,如同蜂蜜捕捉昆虫般,诱使攻击者侦测、攻击该系统,

[注*3]:GNU Wget(简称:Wget)是一个在网路上进行下载的简单而强大的自由软体,其本身也是GNU计划的一部分。它的名字是「World Wide Web」和「Get」的结合,同时也隐含了软体的主要功能。目前它支援通过HTTPHTTPS,以及FTP这三个最常见的TCP/IP协定下载。

研究人员检查了这些恶意脚本,确定了这三种僵尸挖矿转体,且都是由相同的 URL :

  1. http://198[.]98[.]51[.]104:282/x86/bash
  2. http://198[.]98[.]51[.]104:282/arm/bash
  3. http://198[.]98[.]51[.]104:282/aarch64/bash

恶意软体正在不断发展演化,事实上,在去年,趋势科技也发现了另外一个僵尸网路变种,称作 Satoshi Variant。另外,在过去几周,趋势科技也发现 Outlaw 骇客集团在中国散播另外一种恶意程式,用于 Monero 的挖矿,且疑似也是针对安卓的设备,因为在恶意程式的脚本发现了一个安卓应用程式。

📍相关报导📍

恶意软体假冒以太坊钱包 MetaMask 上架 Google 商店,拦截用户钱包地址的复制贴上功能

Firefox 浏览器推出新版本,效率增加 40%,还可以屏蔽恶意挖矿脚本

您可能还喜欢...

发表评论

电子邮件地址不会被公开。 必填项已用*标注