Троянец-майнер для «умных» телевизоров и устройств на Android
Компания «Доктор Веб» сообщила о распространении троянца Android.CoinMine.15, известного также под названием ADB.miner: информация об этом появилась несколько дней назад в блоге китайской компании, работающей в сфере информационной безопасности. По данным китайских исследователей, скорость распространения троянца в активный период была очень велика: ежедневно количество инфицированных устройств возрастало вдвое. Специалисты «Доктор Веб» полагают, что большинство зараженных устройств – «умные» телевизоры, поскольку именно они, как правило, имеют постоянное подключение к Интернету с использованием ADB.
Троянец Android.CoinMine.15, предназначенный для добычи криптовалюты Monero, способен инфицировать другие устройства без участия пользователя. Он заражает Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). Инфицированными могут оказаться не только «умные» телевизоры, но и смартфоны, планшеты, телевизионные приставки, роутеры, медиаплееры и ресиверы – т. е. устройства, использующие отладку по сети. Еще одно потенциально уязвимое устройство – одноплатный компьютер Raspberry Pi 3 с установленной ОС Android.
Распространение троянца происходит следующим образом: с другого зараженного устройства на атакуемый узел устанавливается приложение droidbot.apk, а также файлы с именами nohup, sss и bot.dat. Файл sss запускается с помощью утилиты nohup и в процессе работы становится демоном. Затем он извлекает из bot.dat другие компоненты троянца, в том числе конфигурационный файл в формате JSON, приложения-майнеры (для 32- и 64-разрядной версии ОС) и экземпляр троянской программы droidbot. После запуска droidbot в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троянец предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер, предназначенное для добычи криптовалюты Monero (XMR). Заражение подобными вредоносными программами может привести к снижению быстродействия устройства, его нагреву, быстрому расходованию ресурса аккумулятора.
В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители все же оставляют его включенным. Кроме того, сами пользователи по каким-либо причинам могут включить ADB (чаще всего режим отладки необходим разработчикам программ). Согласно статистике, собранной Dr.Web для Android, из защищенных антивирусом компании устройств отладчик Android Debug Bridge включен на 8%. Поскольку такая настройка может представлять потенциальную угрозу, специальный компонент Dr.Web – Аудитор безопасности – предупреждает пользователя о включенном отладчике и предлагает отключить его.
Специалисты «Доктор Веб» рекомендуют всем владельцам Android-устройств выполнить проверку ОС на предмет потенциально опасных настроек и подчеркивают, что троянец-майнер Android.CoinMine.15 детектируется и удаляется антивирусными программами Dr.Web для Android.