Twee botnets aan het vechten zijn en de controle van duizenden onbeveiligde Android-apparaten

0
173

Nul

fight-fbot-trinity.png

Twee botnet bendes vechten om de controle over te nemen als vele onbeveiligde Android-apparaten ze gebruik van hun middelen en de mijne cryptocurrency achter eigenaren de rug.

De turf war tussen deze twee botnets –een naam Fbot en de andere genaamd Trinity– is al minstens een maand als we naar het combineren van de verschillende aanwijzingen van de verslagen van de verschillende cyber-security bedrijven.

Zowel in directe concurrentie en gaan na dezelfde doelen, namelijk Android-apparaten waarop leveranciers of eigenaren van de diagnostische poort blootgesteld online.

Deze poort is 5555, en het gastheer is van een standaard Android-feature, genaamd de Android Debug Bridge (ADB). Alle Android-apparaten ondersteunen, maar de meeste komen met een handicap.

Maar tijdens het ADB is uitgeschakeld op honderden miljoenen apparaten, er zijn tienduizenden wanneer deze functie is ingeschakeld, hetzij door een ongeluk tijdens het apparaat, het assembleren en testen van proces of door de gebruiker, nadat hij gebruikt het ADB is om te debuggen en aanpassen van zijn telefoon.

Nog erger, in de standaard configuratie, de ADB interface maakt ook geen gebruik van een wachtwoord. Zodra de ADB-poort is ingeschakeld en het apparaat is aangesloten op het internet, de ADB-functie werkt als een permanente wijd open achterdeur naar kwetsbare apparaten.

Volgens een Shodan zoeken, het aantal Android-apparaten met een ADB-poort blootgesteld online varieert meestal tussen de 30.000 en 35.000 gedurende een dag.

Cyber-criminelen hebben ook gemerkt dat deze apparaten. In februari van dit jaar, een botnet gebouwd op een malware-stam bekend als ADB.Mijnwerker was besmet bijna 7.500 apparaten, de meeste van hen zijn op Android gebaseerde smart Tv ‘ s en TV-top boxen.

Het ADB.Mijnwerker bemanning gewonnen cryptocurrency, en in het einde, draaide een mooie winst. Maar deze malware stam geëvolueerd met de tijd en later veranderd in een nieuw botnet genaamd Trinity –ook bekend als com.ufo.mijnwerker, na de naam van zijn proces.

Het botnet is gezien door Qihoo 360 Netlab in September en het was nog steeds sterk in oktober, wanneer Ixia onderzoekers ook gespot online.

Net als de vorige ADB.Mijnwerker incarnatie, de drie-eenheid botnet is blijven vertrouwen op de blootgestelde ADB interface om toegang te krijgen tot apparaten, plant de crypto-mijnbouw malware, en gebruik vervolgens de besmette apparaat te verspreiden naar nieuwe slachtoffers.

Echter, ADB.Mijnwerker en Trinity ‘ s succes is ook getrokken nieuwe kanshebbers op de scène. Ook het starten met September, een ander botnet werd ook gezien het scannen naar apparaten met een ADB-poort links blootgesteld online. Deze tweede botnet, genaamd Fbot, niet is gezien de mijnbouw cryptocurrency, maar toch.

Voor het niet, Fbot, die onderzoekers zeggen aandelen-code met de Satori IoT DDoS-malware, alleen is gericht op het verspreiden naar zoveel apparaten mogelijk en definitief, waardoor drie-eenheid van besmette apparaten. Zie je, Fbot bevat een speciale code die specifiek zoekt naar Trinity ‘ s bestand (com.ufo.mijnwerker) en verwijdert het.

Terwijl het doel blijft een mysterie en het kan enige tijd duren voordat Fbot wordt net zo groot als Trinty, het is duidelijk dat Android-apparaat eigenaars moeten nemen van deze malware trend en zorg ervoor dat het apparaat niet bloot de ADB-poort online.

Deze tutorial zal helpen apparaat eigenaren uitschakelen van de ADB-die ook wordt aangeduid als “USB-Foutopsporing” in veel Android-apparaten’ instellingen menu ‘ s.

Terug in juni, infosec expert Kevin Beaumont had gesuggereerd dat mobiele telecombedrijven kunnen doen iedereen een plezier door het blokkeren van inkomend verkeer in hun netwerken die gericht haven 5555, waardoor scans voor open ADB poorten nutteloos, het effectief blokkeren van de exploitatie pogingen.

Verwante dekking:

Hackers zijn steeds het vernietigen van logs te verbergen aanvallenCisco zero-day in het wild misbruik te crashen en laden van apparatenSatori botnet auteur in de gevangenis weer na het breken van voorhechtenis release voorwaardenNieuwe lek effecten de meeste Linux en BSD distributiesNieuwe DDoS-botnet gaat na Hadoop enterprise-serversHackers vraag naar bitcoin vanuit de PGA in ransomware aanvallen, zegt rapport CNETGeavanceerde DDoS-aanvallen een stijging van 16% ten opzichte van vorig jaar TechRepublicOnderzoekers vinden Stuxnet, Mirai, WannaCry op de loer in de industriële USB-drives

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters

0