Android调试工具可用于破坏设备挖掘加密货币

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

Android调试工具可用于破坏设备挖掘加密货币

开发人员在尝试对其代码进行故障排除时,通常会使用具有提升权限的调试工具。但骗子也可以滥用它们。
在理想的世界中,应用所有安全控件,并在将代码发布给公众之前删除或禁用所有调试工具。实际上,设备有时在没有最终用户知识的情况下以易受攻击的状态释放。

根据最近TCP端口5555扫描的高峰,有人认为存在可利用的漏洞。

Android软件开发工具包(SDK)为开发人员提供了一个调试代码的工具,称为Android Debug Bridge(adb。)。根据 Google开发人员门户网站,

“ adb 命令可以促进各种设备操作,例如安装和调试应用程序,并且可以访问可用于在设备上运行各种命令的Unix shell。”

这些是用于调试工具的非常强大的功能,也可用于执行恶意代码而不会受到通常的安全控制的困扰。只要adb工具在安全环境中使用,它就没有什么风险。建议在将设备发布给使用者之前禁用adb服务,并且adb服务通常仅限于USB连接。

6月初,安全研究员 凯文·博蒙特(Kevin Beaumont)警告说,“不幸的是,供应商一直在推出支持Android Debug Bridge的产品。它侦听端口 5555,并允许任何人通过互联网连接到设备。同样清楚的是,有些人也不安全地使用他们的设备。“他接着描述了基于Android的设备类型,这些设备被发现处于易受攻击的状态并可从互联网访问,” [...]我们发现从美国的油轮到香港的DVR,再到韩国的移动电话,应有尽有。作为一个例子,一个特定的Android TV设备也被发现在这种情况下发货。“直到趋势科技的研究人员在TCP端口5555上发现了可疑的端口扫描时才发出一个月的警告。

根据趋势科技博客的说法 ,“我们在7月9日至10日和7月15日发现了两起可疑的高峰事件后,发现了一个使用5555端口的新漏洞。[...]我们的数据显示,第一波网络流量主要来自中国和美国,而第二波主要涉及韩国。“

趋势科技研究人员的分析显示了一个相当典型的命令和控制(C&C)恶意软件感染过程,与Mirai僵尸网络的Satori变体有许多相似之处。一旦识别出开放的adb端口,恶意软件就会将第1阶段shell脚本放到设备上,当启动时,它会下载另外两个(第2阶段)shell脚本,然后下载“几个体系结构的下一阶段二进制文件并启动相应的一个。 “二进制文件建立与C&C服务器的连接,然后扫描在受感染设备上运行的进程,并尝试杀死任何正在运行可能正在挖掘Monero 的CoinHive脚本的进程。同时,二进制文件试图作为蠕虫传播到其他设备。

目前尚不清楚受损设备的意图是什么。对代码的分析表明,如果有足够的设备受到攻击,它可以用作分布式拒绝服务(DDoS)平台。由于它似乎正在扼杀Monero挖掘过程,因此可以将受损设备重新调整为另一组的加密货币。在Kevin Beaumont在6月发出警告后,物联网搜索引擎 Shodan 增加了搜索adb易受攻击系统的能力,目前列出了超过48,000个可能存在漏洞的设备。

趋势科技的研究人员 提供了一些 降低风险的建议:

在移动设备上,转到设置,选择“开发人员选项”并确保“ADB(USB)调试和来自未知来源的应用程序”已关闭
应用供应商提供的推荐补丁和更新
如果您感觉自己被感染,请执行恢复出厂设置以清除恶意软件
更新入侵防御系统(IPS),以识别潜在的恶意代码到达您的设备
Android操作系统开发用于在各种设备上运行。这是一个灵活而复杂的解决方案,鼓励众多供应商实施基于Android的解决方案。其中一些供应商拥有强大的质量保证流程,他们的解决方案“安全”,而其他供应商则允许错误贯穿整个流程,并使漏洞落在最终用户手中。这些用户通常不知道他们的设备正在运行什么操作系统,并且在为时已晚之前不知道可能存在哪些漏洞。似乎至少有48,000个例子等待被利用。

CE安全网

发表评论

您必须登录才能发表评论!