中新网2月6日报道,近期,360网络安全研究院发现了一种名为ADB.Miner的安卓平台挖矿蠕虫挖矿软件cgminer,这是全球首次出现的此类恶意软件。它对那些开启了“ADB调试”功能的智能电视、电视盒子以及机顶盒等多种设备造成了影响。这批恶意软件并非典型的安卓病毒,而是针对安卓设备后台进行“挖矿”活动的全新恶意程序。短短24小时内,已有五千台设备中招。截至目前,感染设备数量已超过七千台。中国和韩国成为此次蠕虫病毒的主要受灾区域。
从大门溜进的病毒
ADB作为连接安卓设备与个人电脑的纽带,使得用户能够在电脑上对设备进行全方位的操控,它是安卓系统为便于软件开发者进行调试而设计的一种接口。通常情况下,开发者会通过激活USB调试功能来利用这一接口。然而,实际上,该接口还能够直接与网络端口相连接。若设备与网络端口实现连接,攻击者便能在无需直接接触的情况下,从远处操控安卓系统。
安卓设备上的ADB调试接口使用的5555端口,在正常情况下应当是关闭的,然而由于某些未知原因,部分设备却错误地开启了此端口,随后ADB.Miner便利用这个开启的端口对用户的手机进行了入侵。
360网络安全研究院监测到,自2月3日下午15:00起挖矿软件cgminer,5555端口上的扫描流量急剧攀升,增至日常数据的3倍;至24:00左右,流量更是飙升至10倍。这一异常情况通常表明,可能出现了新型的僵尸网络、蠕虫病毒或新的网络安全事件。经过深入调查和验证,360网络安全研究院揭露了ADB.Miner蠕虫的存在。
2016年8月,全球范围内首次发生的大规模物联网攻击——“美国东海岸断网”事件,是由360网络安全研究院通过其蜜罐系统首次识别并报告的。360系统监测到的网络流量异常情况,后来被确认是名为Mirai的快速扩散的僵尸网络引起的。正是得益于这次事件中的协助调查与分析,当案件最终破获时,360公司得到了FBI的公开感谢。
智能电视也沦为“矿机”
自2017年起,区块链与虚拟货币的迅猛发展导致全球虚拟货币价格节节攀升,进而掀起了一股“挖矿潮”。除了传统的使用矿机挖矿方式,部分人产生了利用挖矿病毒悄无声息赚取巨额财富的念头,即通过散播病毒,将普通用户的手机转变为免费的“矿机”,以最大限度地减少挖矿成本。
360近期发布的《安卓平台挖矿木马研究报告》显示,自2013年起至2018年1月,360烽火实验室成功截获的安卓平台挖矿木马数量超过1200个。特别在2018年1月,捕获的安卓平台挖矿木马数量接近400个,这一数字几乎占据了所有安卓平台挖矿类木马的三分之一。这一现象表明,安卓平台的挖矿木马正呈现出迅猛的增长态势。
ADB.Miner这种以蠕虫方式传播的挖矿恶意软件,显著提升了其传播速度。
ADB.Miner蠕虫不再依赖“短信/垃圾邮件”等社交手段进行传播,它现在是通过ADB接口直接进行感染和扩散的。
ADB接口的功能十分多样,尤其是其文件传输功能以及执行shell命令的能力,这些特性极大地便利了蠕虫的繁殖与运行过程。
在传播过程中,ADB.Miner借鉴了MIRAI的SYN扫描模块代码,意图加快对5555端口开放状态的检测速度,从而提升其传播效率。尤为引人注目的是,这标志着MIRAI的代码首次被应用于安卓设备上的恶意软件中。
360网络安全研究院监测到,ADB.Miner蠕虫的扩散速度大约每12小时就翻一番,据数据统计,在2月4日中午时分,大约有2700台设备遭受了感染,而到了当天午夜,这一数字已经攀升至5800台。2月5日15时左右,感染数字攀升至约7000,此后约20小时内未见增长,据此可推断,该蠕虫已渡过爆发阶段,现已步入稳定期。
避免成为挖矿劳工 360提供防御办法
感染ADB.Miner后,用户的安卓设备会被转化为“矿机”,导致内部资源被恶意占用,进而引发耗电量激增。这会使安卓设备运行缓慢并过热。若恶意程序在手机内持续挖掘,用户手机的电池可能遭到严重损害,最终导致手机报废。此外,该恶意程序还拥有root权限,从而带来了更为严重的安全风险。
360网络安全研究院安全专家建议用户:
若家中安卓设备出现发热、运行缓慢的现象,应立即检查并确认该设备的ADB调试功能已关闭,具体操作为进入设置,选择系统,再点击开发者选项,最后在网络ADB调试中进行查看。
2.尽量避免root手机;
3.避免下载安全性未知的应用;
4.使用360手机卫士等安全软件防范恶意程序。
