Duel dva botneta oko Android uređaja

Otvoreni ADB port 5555 izaziva okršaj dve sajber kriminalne grupe!

Duel dva botneta oko Android uređaja

Trinity i Fbot botneti već više od mesec dana vode borbu za preuzimanje kontrole nad hiljadama nebezbednih Androida. Uređaje inficiraju preko ADB interfejsa, a zatim ih koriste za tajno rudarenje kripto valuta.

Na meti Trinity i Fbot botneta su isti uređaji, odnosno Androidi na kojima su vendori ili vlasnici ostavili otvoren port za dijagnostiku. U pitanju je port 5555 za standardnu Android dijagnostičku opciju ADB (Android Debug Bridge). Iako svi Android uređaji imaju ovu opciju, na većini je automatski onemogućena.

Procenjuje se da ima na desetine hiljada uređaja na kojima je ADB opcija omogućena (zbog propusta proizvođača u fazi sklapanja i testiranja ili zbog propusta korisnika koji su zaboravili da je onemoguće nakon kastomizacije ili debuga telefona). Da stvar bude gora, prema fabričkom podešavanju ADB interfejs ne koristi lozinku. To znači da kad god je ADB port omogućen i uređaj povezan na internet, na Androidu postoji širom otvoren backdoor za potencijalne napadače. Broj ovakvih uređaja prema Shodan pretrazi dnevno varira između 30.000 i 35.000.

Ovakav propust su naravno primetili i sajber kriminalci. Najpre su u februaru napravili botnet pomoću ADB.Miner malvera koji je inficirao blizu 7.500 uređaja, uglavnom pametnih televizora i TV set top boks uređaja sa Android OS. ADB.Miner grupa je preko ovih uređaja rudarila kripto valute i ostvarila značajnu zaradu. Vremenom je ADB.Miner evoluirao u novi botnet po imenu Trinity, poznat i kao com.ufo.miner. Trinity je, poput svog prethodnika, nastavio da inficira Androide sa izloženim ADB interfejsom, ubacuje malver za rudarenje kripto valuta, a zatim da se širi na nove žrtve pomoću zaraženog uređaja.

Uspeh ova dva botneta privukao je nove igrače. U septembru je primećeno da jedan novi botnet, Fbot, skenira uređaje tražeći one sa otvorenim ADB portom. Do ovog momenta nije zabeleženo da je Fbot krenuo da rudari kripto valute, ali je to logičan sledeći korak.

Fbot ima sličnosti u kodu sa Satori IoT DDoS malverom. Trenutno je fokusiran na širenje na što veći broj uređaja i trajno uklanjanje Trinity botneta u zaraženim uređajima. Fbot ima specijalan kod koji traži Trinity ime fajla (com.ufo.miner) i uklanja ga. Još nije potpuno jasno šta je cilj Fbota, a verovatno će mu trebati određeno vreme da dostigne veličinu Trinity botneta.

Zatvaranje ADB porta

Što se tiče vlasnika Android uređaja, jasno je da moraju da obrate pažnju na ovaj trend i da ne ostavljaju otvoren ADB port. Korisnicima može biti od pomoći tutorijal u kome se objašnjava kako onemogućiti ADB servis (USB Debugging).

Mobilni operateri bi mogli na jednostavan način da zaštite svoje korisnike od ovakvih i sličnih napada, odnosno mogli bi da spreče da se eksploatacijom ADB porta formiraju botneti. Dovoljno je da blokiraju dolazni saobraćaj u svoje mreže koji cilja port 5555.

Izvor: ZD Net