image

Worm infecteert duizenden Android-apparaten via ADB

maandag 5 februari 2018, 12:09 door Redactie, 3 reacties

Onderzoekers van securitybedrijf Qihoo 360 waarschuwen voor een worm die Android-apparaten via de Android Debug Bridge (ADB) infecteert en onderdeel van een cryptomining-botnet maakt. ADB is een tool om Android-apparaten bijvoorbeeld via een computer mee te benaderen.

Normaliter is het niet toegankelijk via internet. De worm, die deels gebaseerd is op bekende Mirai-malware, weet echter via poort 5555 toegang tot de Android Debug Bridge te krijgen en kan zo het toestel infecteren. De meeste geïnfecteerde toestellen zijn Android-smartphones en tv-boxes waarbij de ADB-interface via internet toegankelijk is. Wanneer de infectie succesvol is wordt er een cryptominer geïnstalleerd die het apparaat naar de cryptovaluta Monera laat minen. Daarnaast worden besmette toestellen gebruikt om via poort 5555 naar andere kwetsbare apparaten te scannen.

Volgens Qihoo 360 is de eerste infectie naar 31 januari te traceren, waarbij de worm-achtige infecties vanaf 3 februari plaatsvonden. In 24 uur tijd zou de worm naar schatting meer dan 5.000 Android-apparaten hebben besmet, voornamelijk in China en Zuid-Korea. Het securitybedrijf wil vooralsnog niet zeggen welke merken of modellen zijn getroffen, omdat het niet om een probleem van een specifieke leverancier zou gaan.

Reacties (3)
05-02-2018, 13:46 door Anoniem
De worm is alleen succesvol als een Android-apparaat al verkeerd geconfigureerd is om alle het verkeer naar poort 5555 te accepteren om de functionaliteiten van de Android debugger te gebruiken. Functionaliteiten als een shell waarmee je toegang hebt tot het Android-apparaat. Volgens Google zijn er 2.000.000.000 android-apparaten. Dan zijn 5.000 besmette apparaten slechts 0,00025% van het totaal. Zelfs als de besmettingen vooral alleen in China en Korea zouden zijn.
05-02-2018, 15:01 door Anoniem
gelukkig dat je geen os-firewall op telefoons hebt om dit soort poorten standaard te kunnen blokkeren..
05-02-2018, 16:05 door Anoniem
Door Anoniem: gelukkig dat je geen os-firewall op telefoons hebt om dit soort poorten standaard te kunnen blokkeren..

sterker nog, dit soort poorten staan standaard al dicht. Het is zoals Anoniem boven je al aangeeft, dit werkt dus alleen bij apparaten die bewust afwijkend ingesteld staan (tov de standaard waarden binnen Android).

Maar het is typisch zo'n instelling die iemand doet om even iets uit te zoeken, maar vervolgens vergeet terug te draaien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.