В Китае и Южной Корее стремительно распространяется вредоносная программа ADB.Miner с функциями криптомайнра. Методы распространения ADB.Miner послужили поводом назвать его «червем».
Валютный «червь»
Эксперты по информационной безопасности компании 360Netlab выявили новый криптомайнер, который атакует устройства на базе Android — от смартфонов и планшетов до smart-телевизоров — и использует их процессорные мощности для генерации криптовалюты Monero.
Название ADB.Miner отсылает к официальному отладочному инструменту Android Debug Bridge (ADB), с помощью которого иногда открывается закрытый по умолчанию порт 5555. Именно устройства с этим открытым портом ADB.Miner и заражает, а затем начинает активно искать другие гаджеты с открытым портом 5555 — для дальнейшего своего распространения.
Достигнув пика по количеству заражений — 7 тыс. устройств в Китае и Южной Корее — ADB.Miner остановил свой разгон.
Код Mirai
Первые случаи заражения произошли в районе 31 января 2017 г. Большая часть зараженных устройств — это смартфоны, планшеты и smart-телевизоры. Эксперты предпочли не называть конкретные модели, но отметили, что зараженные устройства активно пытаются распространять вредоносный код и дальше.
Исследователи также отметили, что в модуле сканирования ADB.Miner присутствуют фрагменты кода Mirai, печально знаменитого троянца, сформировавшего мощный ботнет из миллионов устройств интернета вещей и производившего мощнейшие DDoS-атаки с его помощью. Например, в 2016 г. Mirai атаковал DNS-провайдера Dyn, выведя из строя целый ряд крупнейших мировых интернет-платформ.
«Червь» или притворяется?
Эксперты уже назвали ADB.Miner «червем» в связи со сходством способа его распространения с программами этого класса, вызывавшими эпидемии в конце 1990-х — начале 2000-х. Эпоха таких эпидемий считается давно закончившейся — большинство киберзлоумышленников к концу 2000-х переключились на более прибыльные виды вредоносного ПО, в первую очередь, троянцев. В 2010-е годы черви продолжали появляться, но становились все более редким явлением.
Самую мощную червеобразную эпидемию устроил вредонос-шифровальщик WannaCry, использовавший для распространения утекшие эксплойты АНБ. К Агентству, по всей видимости, имели отношения и черви Stuxnet и Duqu, хотя они предназначались не для широкомасштабного распространения, а для атак на конкретные сети. Но последним истинно компьютерным «червем», устроившим действительно глобальную эпидемию, был, по-видимому, Conficker, в 2008-2009 гг. атаковавший компьютеры в 190 странах мира.
Что касается «червей» на мобильных устройствах, то они пока что редки. Самым известным к настоящему времени стал Samsapo, червь 2014 г., атаковавший русскоязычных пользователей.
«Попытки оснастить майнер для мобильных устройств функциональностью “червя” выглядит довольно логичным шагом: в конце концов, процессоры мобильных устройств уступают по вычислительной мощности центральным и графическим процессорам персональных компьютеров, а значит, чем больше зараженных мобильных устройств, тем лучше, — отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Судя по начальной скорости распространения ADB.Miner, расчет был верен».