ЗЛОУМЫШЛЕННИКИ СТРОЯТ БОТНЕТ НА ANDROID-УСТРОЙСТВАХ

Исследователи из Trend Micro фиксируют рост количества сканов TCP-порта 5555, который обычно используется разработчиками для дистанционной отладки приложений на Android-устройствах. Если попытка получения доступа оказалась успешной, на гаджет загружается IoT-зловред, способный самостоятельно распространяться по сети и по команде проводить DDoS-атаки.

Для загрузки вредоносного кода злоумышленники используют утилиту командной строки ADB (Android Debug Bridge), доступную на порту 5555. Этот инструмент, обеспечивающий доступ к ключевым элементам системы, входит в комплект разработчика Android.
На коммерческих изделиях ADB-порт по идее должен быть деактивирован, и открыть его можно только через подключение по USB. К сожалению, многие Android-устройства — смартфоны, “умные” телевизоры — поставляются с включенным ADB, что делает их уязвимыми для удаленных атак.
Скан-активность, нацеленная на выявление открытых портов 5555, в текущем году усилилась. Так, в начале февраля злоумышленники начали распространять через ADB вредоносную программу-майнер, использующую сканер Mirai для дальнейшего продвижения по сети. Аналогичная активность криптоджекеров наблюдается и поныне.
Новый всплеск попыток эксплойта ADB, зафиксированный Trend Micro, особенно ярко проявился 9-10 и 15 июля. По наблюдениям экспертов, первая волна сканов исходила преимущественно из Китая и США, вторая охватила Южную Корею.
Анализ показал, что в случае успеха цепочка заражения начинается с шелл-скрипта, который загружает дополнительные скрипты, ответственные за загрузку и запуск основного бинарного кода. Примечательно, что после исполнения все вспомогательные сценарии удаляются.
Основной компонент при активации прежде всего удаляет свой файл из файловой системы. Затем он запускает два дочерних процесса; один из них отыскивает в памяти и принудительно завершает процессы, соответствующие временным файлам smi (скриптовый майнер CoinHive), xig и trinity (фаззер Android), а другой отвечает за самораспространение зловреда.
Подключение к командному серверу осуществляется двумя способами: через запрос к DNS-серверу Google на разрешение доменного имени n[.]ukrainianhorseriding[.]com или с помощью прописанного в коде IP-адреса 95[.]215[.]62[.]169. В ответ на обращение зловред может получить команду на проведение DDoS-атаки, при этом ему указываются число и адреса мишеней, а также вид пакетов, подлежащих передаче. По свидетельству Trend Micro, данный IoT-бот способен бомбардировать цели мусорными пакетами UDP, TCP SYN и TCP ACK произвольного размера, а также UDP с туннелированием по протоколу GRE и TCP SYN.
Как оказалось, вшитый в код испанский C&C-адрес использовал также ботовод Satori. Альтернативный сервер 185[.]62[.]189[.]149 злоумышленники подняли в Нидерландах. Домен n[.]ukrainianhorseriding[.]com был зарегистрирован под тем же email-адресом, что и rippr[.]cc, уже заблокированный за вредоносную активность.
Поиск через Shodan обнаружил в Интернете более 48 тыс. IoT-устройств, уязвимых к эксплойту ADB. Эксперты не преминули отметить, что не все эти гаджеты доступны, некоторые из них прикрыты NAT-транслятором. Тем не менее, без дополнительной защиты плохо сконфигурированные устройства — легкая добыча для злоумышленников, в этом случае не спасет даже сильный пароль.
x
x