Японская компания-разработчик Trend Micro обнаружила новый ботнет, который использует порты Android Debug Bridge для загрузки вредоносного ПО и скрытого майнинга.
Система ADB предназначена для устранения дефектов приложений, по умолчанию не требуют аутентификации, и после установки может использовать любую программу с SSH-соединением. Новый ботнет использует ее, чтобы начать процедуру обновления рабочего каталога и загрузить три варианта ПО для скрытой добычи криптовалюты на устройствах жертв.
После анализа типа операционной системы, процессора, архитектуры и аппаратного обеспечение, программа определяет оптимальный майнер. Затем бот запускает дополнительные команды для настройки разрешения работы вредоносного ПО, удаления первоначально загруженных файлов, маскировки от хоста и дальнейшего незаметного распространения.
Программа также самостоятельно активирует технологию HugePages, которая оптимизирует обработку данных, объем которых превышает размер базовых страниц памяти.
В случае обнаружения майнеров, ботнет пытается аннулировать их URL и уничтожить их, изменяя код хоста.
Аналитики Trend Micro говорят, что факты заражения зафиксированы уже в 21 стране, но большинство пострадавших из Южной Кореи. Программа представляет серьезную угрозу, поскольку системы ADB установлены в большинстве телефонов и планшетов на платформе Android, а SSH-соединение охватывает широкий спектр устройств, что упрощает заражение.
Однако не только мошенники, но и добросовестные разработчики совершенствуют цифровые продукты. Недавно сотрудники из университета Беркли представили программу для выявления фейковых видео.
текст: Иван Маличенко, фото: Unsplash