安卓挖矿蠕虫

安卓挖矿蠕虫
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
ADB.Miner：恶意代码正在利用开放了ADB接口的安卓设备挖矿 360安全卫士认证厂商2018-02-09共266374人围观 ，发现 2 个不明物体 终端安全
从 2018-02-03 15:00 开始，一组恶意代码开始蠕虫式快速传播，360网络安全研究院分析了这个安全威胁，一些快速的结果如下：

传播时间：最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15：00附近开始被我们的系统检测到，目前仍在持续增长。

感染端口：5555，是安卓设备上 adb 调试接口的工作端口，这个端口正常应该被关闭，但未知原因导致部分设备错误的打开了该端口

蠕虫式感染：恶意代码在完成植入后，会继续扫描 5555 adb 端口，完成自身的传播

感染设备型号：目前能够确认的设备型号见后，大部分是智能手机，以及智能电视机顶盒

感染设备数量：2.75 ~ 5k，主要分布在中国（~40%）和韩国（~30%）

另外，恶意代码复用了 mirai在扫描阶段的代码，这是我们首次看到 mirai 代码被安卓蠕虫复用

总体而言，360网络安全研究院认为有基于android 系统 adb 调试接口的恶意代码目前正在蠕虫式积极传播，24小时内已经感染了超过5千台设备。

端口5555上的感染趋势
从 2018-02-03 晚间开始，我们检测到端口 5555 上的扫描流量正在快速增长，如下：

1.png
图1

如上图所见，5555 端口上的扫描流量从下午15：00附近，开始达到日常背景数据的3倍，24：00附近到达10倍。到目前未知，发起扫描的IP数量和总扫描流量，都仍然在持续增长中。

如下图所示，当前 5555 端口扫描流量已经排入所有端口的前十。上一次我们看到一个全新端口排入前十，是2016年9月期间，mirai僵尸网络开始组建其僵尸网络。

2.png
图2

5555 端口上扫描来源的独立IP地址，按照不同口径统计，有2.75 ~5.5k，这个数字正在快速增长中，两个来源的情况见后：

来自 scanmon的统计数字： 2.75k，主要来自中国（40%）和韩国（31%）。

来自我们的僵尸网络跟踪系统的统计数字： 5.5k

3.png
图3

787cfcc6-3b43-42ad-82c0-177127c4be11.png
图4

受感染设备主要是各厂商开放了 adb 调试接口的安卓设备
受感染设备正在积极的尝试投递恶意代码。我们从这些恶意代码中分析发现，大部分来源设备基于 android 操作系统。

具体被感染设备机型暂时不予公开，目前看，因为各主要厂商均涉及，并且同时涉及智能手机和智能电视（电视机顶盒？），我们倾向排除厂商级别漏洞的可能性。

恶意代码在利用这些设备挖矿
相关的恶意代码有一组，其中xmrig 相关恶意样本会参与挖取 XMR 代币。相关的配置有两组，基于两个不同矿池，但是共享了同一个钱包地址：

矿池地址：pool.monero.hashvault.pro:5555或者 pool.minexmr.com:7777

钱包地址（矿池账号）：44XT4KvmobTQfeWa6PCQF5RDosr2MLWm43AsaE3o5iNRXXTfDbYk2VPHTVedTQHZyfXNzMn8YYF2466d3FSDT7gJS8gdHAr

矿池密码：x

目前为止，上述钱包还没有收到矿池的第一笔付款：

fa58f4b6-9350-4869-a88a-275d60b16c54.png
图5

蠕虫式传播
我们目前可以认为恶意代码有蠕虫式传播行为。

我们最初就高度怀疑样本有蠕虫式传播行为。后续的分析从几个方面证实了上述猜测。后续我们也许会发布更新，进一步说明这一点。

其他的分析和防御工作，也正在持续进行中。后续的重要更新360网络安全研究院都会持续发布，请保持关注 twitter/360Netlab。

*本文作者：360网络安全研究院，转载请注明来自FreeBuf.COM

360安全卫士
360安全卫士
207 篇文章
等级： 8级
||
上一篇：2017年Android“间谍软件”年度总结报告下一篇：反编译分析吃鸡辅助器外挂：无外挂功能，疑诈骗钱财
发表评论已有 2 条评论

挖矿大法好 2018-02-09回复 1楼
比特币跌成这B样，估计挖矿啥的差不多消停了

亮了(1)

jimoyong (5级) 2018-02-10回复
@ 挖矿大法好 自助挖矿确实该消停了，但是这种形式的会崛起。而且人家也可以改改程序挖门罗呀

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
360安全卫士
360安全卫士认证厂商

360安全卫士官方账号

207
文章数
10
评论数
最近文章
十张图看懂Windows平台挖矿木马攻击趋势
2018.11.09

远控木马盗用网易官方签名
2018.10.24

幽灵间谍：TrickBot新变种运用“无文件”技术发起攻击
2018.08.23

浏览更多
相关阅读
灰熊矿业？BearMiner的创业之路Rakhni：你的电脑适合挖矿还是感染恶意软件？由它来决定恶意软件的小伎俩，伪装成Cloudflare页面默默挖矿利用Drupal漏洞进行传播的挖矿僵尸病毒分析利用Redis未授权访问漏洞的挖矿病毒阴魂不散
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank