De Android-worm die zich de afgelopen dagen in voornamelijk China en Zuid-Korea verspreidde lijkt geen nieuwe apparaten meer te infecteren. In totaal zijn er 7.000 Android-apparaten besmet geraakt. Het gaat in ieder geval om tv-boxes. De overige apparaten zijn nog niet geïdentificeerd.
De worm maakt gebruik van de Android Debug Bridge (ADB) om Android-apparaten via internet te infecteren. Via ADB is het mogelijk om toegang tot een Android-apparaat te krijgen, bijvoorbeeld via een computer. Normaliter is ADB niet via internet toegankelijk. In een nieuwe analyse over de worm meldt securitybedrijf Qihoo 360 dat de aanvallers achter de worm niet in staat zijn om ADB op afstand voor het internet open te zetten.
De ADB-interface was al op de besmette apparaten geopend. Het is voor de onderzoekers nog onbekend hoe en wanneer dit is gedaan. Wanneer de infectie succesvol is wordt er een cryptominer op het apparaat geïnstalleerd en zal het apparaat via poort 5555 naar andere ADB-interfaces zoeken zodat de worm zich kan verspreiden. Volgens Qihoo 360 is de codestructuur gelijk aan die van Mirai, de bekende Internet of Things-malware. Er zijn negen exemplaren van de worm gevonden.
Deze posting is gelocked. Reageren is niet meer mogelijk.