全球首次爆發(fā)安卓挖礦蠕蟲(chóng) 智能電視變“礦機(jī)”

日前，360網(wǎng)絡(luò)安全研究院監(jiān)測(cè)到全球首個(gè)安卓平臺(tái)挖礦蠕蟲(chóng)ADB.Miner，該惡意程序影響多款“ADB調(diào)試”開(kāi)關(guān)打開(kāi)的智能電視、電視盒子、機(jī)頂盒等等。這組惡意程序并不是傳統(tǒng)的安卓病毒，而是專門在安卓設(shè)備后臺(tái)“挖礦”的新型惡意程序，24小時(shí)內(nèi)就有5千部設(shè)備被感染，截止目前有超過(guò)七千部設(shè)備被感染，中國(guó)和韓國(guó)是本次蠕蟲(chóng)病毒的重災(zāi)區(qū)。

從大門溜進(jìn)的病毒

ADB是連接安卓設(shè)備與PC端的橋梁，可以讓用戶在電腦上對(duì)設(shè)備進(jìn)行全面的操作，是安卓系統(tǒng)為方便軟件開(kāi)發(fā)者提供的一種調(diào)試接口，一般情況下軟件開(kāi)發(fā)人員是通過(guò)啟用USB調(diào)試選項(xiàng)來(lái)使用這種接口的。但事實(shí)上，這種接口可以直接綁定到網(wǎng)絡(luò)端口上。一旦被綁定到網(wǎng)絡(luò)端口，攻擊者就可以在不借助物理接觸的前提下，遠(yuǎn)程操作安卓設(shè)備。

5555 端口是安卓設(shè)備上 ADB調(diào)試接口的工作端口，正常狀態(tài)下應(yīng)該處于關(guān)閉狀態(tài)，但未知原因?qū)е虏糠衷O(shè)備錯(cuò)誤的打開(kāi)了該端口，ADB.Miner便通過(guò)這一端口入侵用戶的手機(jī)。

360網(wǎng)絡(luò)安全研究院監(jiān)測(cè)發(fā)現(xiàn)，5555 端口上的掃描流量從2月3日下午15：00左右，開(kāi)始達(dá)到日常數(shù)據(jù)的3倍，24：00左右到達(dá)10倍。這種異?，F(xiàn)象，一般都預(yù)示著有新型的僵尸、蠕蟲(chóng)或新的網(wǎng)絡(luò)事件出現(xiàn)，在進(jìn)一步挖掘求證之后，360網(wǎng)絡(luò)安全研究院發(fā)現(xiàn)了ADB.Miner蠕蟲(chóng)。

2016年8月全球首次大規(guī)模物聯(lián)網(wǎng)攻擊的“美國(guó)東海岸斷網(wǎng)”事件，就是由360網(wǎng)絡(luò)安全研究院的蜜罐系統(tǒng)首次監(jiān)測(cè)發(fā)現(xiàn)的。360監(jiān)測(cè)出現(xiàn)的網(wǎng)絡(luò)流量異常，最終被證實(shí)是一個(gè)快速蔓延的僵尸網(wǎng)絡(luò)Mirai。也正是由于這次事件的協(xié)助調(diào)查分析，案件告破后，360獲得FBI的公開(kāi)致謝。

智能電視也淪為“礦機(jī)”

2017年以來(lái)，區(qū)塊鏈和虛擬貨幣的爆火使得全球范圍內(nèi)的虛擬貨幣價(jià)格持續(xù)走高，因此引發(fā)了一陣“挖礦熱”。除了常規(guī)的通過(guò)礦機(jī)挖礦外，還有一些人萌生了借助挖礦病毒悶聲發(fā)大財(cái)?shù)南敕?，也就是通過(guò)傳播病毒，把普通用戶的手機(jī)變成免費(fèi)的“礦機(jī)”，最大限度降低挖礦成本。

360近期發(fā)布的《安卓平臺(tái)挖礦木馬研究報(bào)告》稱：從2013年開(kāi)始至2018年1月，360烽火實(shí)驗(yàn)室共捕獲安卓平臺(tái)挖礦木馬1200余個(gè)。僅2018年1月，就捕獲安卓平臺(tái)挖礦木馬近400個(gè)，占全部安卓平臺(tái)挖礦類木馬近三分之一。可以看出，安卓平臺(tái)的挖礦木馬正呈現(xiàn)爆發(fā)式增長(zhǎng)。

而通過(guò)蠕蟲(chóng)式傳播的挖礦惡意程序ADB.Miner，則大大提高了傳播速度。

1. ADB.Miner蠕蟲(chóng)擺脫了通過(guò)“短信息/垃圾郵件”等社交誘騙的傳播方式，而是直接從ADB接口感染和傳播。

2. ADB接口功能相當(dāng)豐富，其中文件上傳功能及shell指令為蠕蟲(chóng)的繁殖和運(yùn)行提供了便利。

3. 在傳播中，ADB.Miner復(fù)用了MIRAI中 SYN掃描模塊的代碼，試圖加速對(duì) 5555 端口開(kāi)放情況的探測(cè)過(guò)程，以便提高傳播速度。值得注意的是，這也是MIRAI的代碼第一次被用安卓設(shè)備上的惡意代碼中。

360網(wǎng)絡(luò)安全研究院監(jiān)測(cè)發(fā)現(xiàn)，ADB.Miner蠕蟲(chóng)的傳播速度大概在每12小時(shí)翻一倍，統(tǒng)計(jì)數(shù)據(jù)顯示，2月4日12時(shí)大概看到有2700部設(shè)備被感染，而到當(dāng)日午夜時(shí)這個(gè)數(shù)字已達(dá)到 5800。感染數(shù)字在2月5日15時(shí)左右達(dá)到7000后，已經(jīng)維持了大約20小時(shí)不再上升，可以認(rèn)為目前蠕蟲(chóng)已經(jīng)度過(guò)了爆發(fā)期，進(jìn)入平穩(wěn)期。

避免成為挖礦勞工 360提供防御辦法

一旦感染ADB.Miner，用戶的安卓設(shè)備將變成“礦機(jī)”，內(nèi)部大量資源被惡意占用，耗電量也會(huì)大幅上升，致使安卓設(shè)備卡慢、發(fā)燙。如果惡意程序在手機(jī)中持續(xù)不斷地“挖礦”，用戶手機(jī)電池極有可能損壞，造成手機(jī)報(bào)廢。更值得注意的是，該惡意程序還具有root權(quán)限，存在更嚴(yán)重的安全隱患。

360網(wǎng)絡(luò)安全研究院安全專家建議用戶，

1. 如果發(fā)現(xiàn)家中安卓設(shè)備出現(xiàn)發(fā)燙、卡慢的情況，及時(shí)查看并確保安卓設(shè)備的ADB調(diào)試處于關(guān)閉狀態(tài)，可在設(shè)置-系統(tǒng)-開(kāi)發(fā)者選項(xiàng)-網(wǎng)絡(luò)ADB調(diào)試中查看;

2.盡量避免root手機(jī);

3.避免下載安全性未知的應(yīng)用;

4.使用360手機(jī)衛(wèi)士等安全軟件防范惡意程序。