Новый вредонос собирает ботнет из Android-устройств для майнинга Monero

На прошлых выходных появился новый ботнет из Android-устройств, используемый киберпреступниками для майнинга криптовалюты Monero. Вредонос ADB.miner сканирует интернет в поисках открытых портов 5555, которые на Android-устройствах используются интерфейсом для отладки Android Debug Bridge (ADB), и заражает смартфоны, «умные» телевизоры и ресиверы.

По словам обнаруживших ботнет специалистов Qihoo 360 Netlab, ботнет стремительно растет, и количество сканирований удваивается каждые 12 часов. В настоящее время ADB.miner сканирует интернет, используя порядка 7,4 тыс. уникальных IP-адресов. Число сканирований в поисках порта 5555 возросло настолько, что он оказался на 4-м месте в списке самых сканируемых портов по версии Netlab, хотя ранее порт 5555 даже не входил в десятку.

Превалирующая часть IP-адресов, используемых для поиска новых жертв, находится в Китае (около 40%) и Южной Корее (около 30%), причем злоумышленников больше интересует бытовая телевизионная техника, чем смартфоны.

ADB.miner является первым ботнетом из Android-устройств, позаимствовавшим код у печально известного Mirai – вредоносного ПО для устройств «Интернета вещей» (IoT) под управлением Linux. Какую уязвимость эксплуатирует новый вредонос для заражения, исследователи не уточнили. Тем не менее, по их словам, уязвимость широко распространена и не затрагивает продукты только какого-то определенного производителя. Вероятно, проблема связана с самим ADB.

По умолчанию на Android-устройствах порт 5555 отключен. ADB.miner атакует только устройства, где вендоры или пользователи сами включили этот порт.