Onderzoekers hebben een botnet ontdekt dat Android-apparaten in 21 landen via de Android Debug Bridge (ADB) met een cryptominer heeft geïnfecteerd en in staat is om zich via SSH verder te verspreiden. ADB is een tool om Android-apparaten bijvoorbeeld via een computer mee te benaderen.
Normaliter is het niet toegankelijk via internet, maar er zijn apparaten waarbij dit wel het geval is. Dit kan bijvoorbeeld door de fabrikant of gebruiker zijn gedaan. Het nu ontdekte botnet zoekt naar Android-apparaten waarvan de ADB-poort openstaat. Vervolgens wordt de working directory gewijzigd, omdat tmp-bestanden alleen met standaardpermissies worden uitgevoerd. De bot kijkt vervolgens om wat voor soort systeem het gaat en of het geen honeypot is. Hierna wordt de cryptominer gedownload.
Wat ook opvalt aan de aanval is de mogelijkheid om zich verder via SSH te verspreiden. Het gaat dan om systemen die eerder via SSH verbinding met het besmette Android-apparaat hebben gemaakt. "Elk systeem dat via SSH met het oorspronkelijke slachtoffer verbinding heeft gemaakt, is waarschijnlijk een "bekend" apparaat voor het besturingssysteem. Hierdoor kan het systeem na de initiële sleuteluitwisseling zonder enige authenticatie met het andere systeem communiceren", aldus Jindrich Karasek van antivirusbedrijf Trend Micro.
"De aanwezigheid van een verspreidingsmechanisme kan inhouden dat deze malware het veelgebruikte proces van het opzetten van SSH-verbindingen kan misbruiken", aldus de onderzoeker. Gebruikers krijgen het advies om de standaardinstellingen van hun apparatuur te controleren en waar nodig te veranderen om de beveiliging aan te scherpen. Tevens moeten gebruikers bekend zijn met de methodes die aanvallers gebruiken om dit soort malware te verspreiden en wat hier tegen te doen is, aldus Karasek.
Deze posting is gelocked. Reageren is niet meer mogelijk.