中新網2月6日電 日前,360網路安全研究院監測到全球首個安卓平臺挖礦蠕蟲ADB.Miner,該惡意程式影響多款“ADB除錯”開關開啟的智慧電視、電視盒子、機頂盒等等。這組惡意程式並不是傳統的安卓病毒,而是專門在安卓裝置後臺“挖礦”的新型惡意程式,24小時內就有5千部裝置被感染,截止目前有超過七千部裝置被感染,中國和韓國是本次蠕蟲病毒的重災區。
從大門溜進的病毒
ADB是連線安卓裝置與PC端的橋樑,可以讓使用者在電腦上對裝置進行全面的操作,是安卓系統為方便軟體開發者提供的一種除錯介面,一般情況下軟體開發人員是透過啟用USB除錯選項來使用這種介面的。但事實上,這種介面可以直接繫結到網路埠上。一旦被繫結到網路埠,攻擊者就可以在不借助物理接觸的前提下,遠端操作安卓裝置。
5555 埠是安卓裝置上 ADB除錯介面的工作埠,正常狀態下應該處於關閉狀態,但未知原因導致部分裝置錯誤的開啟了該埠,ADB.Miner便透過這一埠入侵使用者的手機。
360網路安全研究院監測發現,5555 埠上的掃描流量從2月3日下午15:00左右,開始達到日常資料的3倍,24:00左右到達10倍。這種異常現象,一般都預示著有新型的殭屍、蠕蟲或新的網路事件出現,在進一步挖掘求證之後,360網路安全研究院發現了ADB.Miner蠕蟲。
2016年8月全球首次大規模物聯網攻擊的“美國東海岸斷網”事件,就是由360網路安全研究院的蜜罐系統首次監測發現的。360監測出現的網路流量異常,最終被證實是一個快速蔓延的殭屍網路Mirai。也正是由於這次事件的協助調查分析,案件告破後,360獲得FBI的公開致謝。
智慧電視也淪為“礦機”
2017年以來,區塊鏈和虛擬貨幣的爆火使得全球範圍內的虛擬貨幣價格持續走高,因此引發了一陣“挖礦熱”。除了常規的透過礦機挖礦外,還有一些人萌生了藉助挖礦病毒悶聲發大財的想法,也就是透過傳播病毒,把普通使用者的手機變成免費的“礦機”,最大限度降低挖礦成本。
360近期釋出的《安卓平臺挖礦木馬研究報告》稱:從2013年開始至2018年1月,360烽火實驗室共捕獲安卓平臺挖礦木馬1200餘個。僅2018年1月,就捕獲安卓平臺挖礦木馬近400個,佔全部安卓平臺挖礦類木馬近三分之一。可以看出,安卓平臺的挖礦木馬正呈現爆發式增長。
而透過蠕蟲式傳播的挖礦惡意程式ADB.Miner,則大大提高了傳播速度。
1. ADB.Miner蠕蟲擺脫了透過“簡訊息/垃圾郵件”等社交誘騙的傳播方式,而是直接從ADB介面感染和傳播。
2. ADB介面功能相當豐富,其中檔案上傳功能及shell指令為蠕蟲的繁殖和執行提供了便利。
3. 在傳播中,ADB.Miner複用了MIRAI中 SYN掃描模組的程式碼,試圖加速對 5555 埠開放情況的探測過程,以便提高傳播速度。值得注意的是,這也是MIRAI的程式碼第一次被用安卓裝置上的惡意程式碼中。
360網路安全研究院監測發現,ADB.Miner蠕蟲的傳播速度大概在每12小時翻一倍,統計資料顯示,2月4日12時大概看到有2700部裝置被感染,而到當日午夜時這個數字已達到 5800。感染數字在2月5日15時左右達到7000後,已經維持了大約20小時不再上升,可以認為目前蠕蟲已經度過了爆發期,進入平穩期。
避免成為挖礦勞工 360提供防禦辦法
一旦感染ADB.Miner,使用者的安卓裝置將變成“礦機”,內部大量資源被惡意佔用,耗電量也會大幅上升,致使安卓裝置卡慢、發燙。如果惡意程式在手機中持續不斷地“挖礦”,使用者手機電池極有可能損壞,造成手機報廢。更值得注意的是,該惡意程式還具有root許可權,存在更嚴重的安全隱患。
360網路安全研究院安全專家建議使用者:
1. 如果發現家中安卓裝置出現發燙、卡慢的情況,及時檢視並確保安卓裝置的ADB除錯處於關閉狀態,可在設定-系統-開發者選項-網路ADB除錯中檢視;
2.儘量避免root手機;
3.避免下載安全性未知的應用;
4.使用360手機衛士等安全軟體防範惡意程式。
