新型挖矿木马入侵安卓设备组建僵尸网络

一种新型的恶意加密货币挖矿殭尸网络被侦测到通过安卓调试桥（Android Debug Bridge, ADB）的端口运作， ADB 是用来解决多数安卓手机或平板上安装的应用程序缺陷的系统。

根据趋势科技（Trend Micro）报告，这一殭尸网络恶意软件已在 21 个国家被侦测到，并在韩国最为泛滥。

（来源：Pixabay）

该攻击利用了在默认的情况下可无须认证打开 ADB 端口的方式，一旦安装该恶意软件，就会散布到先前曾与该设备共享安全外壳协议（Secure Shell, SSH）连接的任何系统。 SSH 连接会与各种设备连接——从移动电话到物联网（Internet of Things, IoT）小工具——这意味着许多产品都可能受影响。

许多研究员表示，“对设备来说， “已知”意味着两系统能在交换初始密钥后，不用额外的认证就能相互连接，系统间会默认彼此是安全的”，“这存在扩散机制，表示恶意软件能通过 SSH 连接进行广泛的滥用。”

该恶意软件以 IP 地址开始。

45[.]67[.]14[.]179 通过 ADB 端口植入，并使用 shell 指令将工作目录更新为 “/data/local/tmp”，因为 .tmp 文件通常具有执行指令的默认权限。

一旦确认成功的植入，该恶意软件就会运用 wget 指令下载三个不同矿工的有效载荷（payload），假如受感染的系统中没有 wget ，就会受影响。

恶意软件依据系统制造商、架构、程序类型和硬件来决定哪个矿工是最适合成为受害者。

然后一个附加指令 chmod 777 a.sh 会执行，更改恶意丢弃权限设置。最终，该软件运用另一个指令 rm -rf a.sh* 来隐藏自己，删除下载的文件。这也掩盖了 bug 传播到其他受害者的痕迹。

研究员检查了入侵文本并确认了在攻击中被利用的三位潜在矿工——都是通过相同的 URL 递送的，它们是：

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

研究员还发现文本通过启用 HugePages 增强主机的内存，允许大于其默认大小的内存页面来优化挖矿的输出量。

假如使用该系统的矿工被发现，殭尸网络会尝试使其 URL 废止，并通过更改主机代码来中止。

有害和恶意的加密挖矿正持续的演变出新的方式来剥削受害者。去年夏天，趋势科技观察到另一个 ADB 的利用，称之为 Satoshi Variant 。

过去几周内，黑客组织 Outlaw 被发现通过对服务器的暴力攻击，在中国散播另一个 Monero 的挖矿病毒。当时，研究员虽无法确定殭尸网络是否已开始挖矿作业，但却在文本中发现了 Android APK，表明可能是专门针对安卓的设备的。

翻译：吴姿莹

声明：本文来自CoinDesk中文，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。