Поделиться этой статьей
TrendMicro обнаружила вредоносное ПО для майнинга Криптo , поражающее устройства Android
Ботнет проникает через порт Android Debug Bridge и распространяется через SSH.
Автор Daniel Kuhn
Обнаружен новый ботнет для майнинга криптовалюты, использующий порты Android Debug Bridge — системы, предназначенной для устранения дефектов приложений, установленных на большинстве телефонов и планшетов Android.
По данным Trend Micro, вредоносное ПО ботнета было обнаружено в 21 стране и наиболее распространено в Южной Корее.
Продолжение Читайте Ниже
Не пропустите другую историю.Подпишитесь на рассылку Crypto Daybook Americas сегодня. Просмотреть все рассылки
Атака использует тот факт, что открытые порты ADB T требуют аутентификации по умолчанию, и после установки она предназначена для распространения на любую систему, которая ранее использовала SSH-подключение. SSH-подключения подключают широкий спектр устройств — от мобильных устройств до гаджетов Интернета вещей (IoT), — то есть многие продукты уязвимы.
«Будучи известным устройством, две системы могут взаимодействовать друг с другом без какой-либо дальнейшей аутентификации после первоначального обмена ключами, каждая система считает другую безопасной», — говорят исследователи. «Наличие механизма распространения может означать, что эта вредоносная программа может злоупотреблять широко используемым процессом создания SSH-подключений».
Он начинается с IP-адреса.
45[.]67[.]14[.]179 поступает через ADB и использует командную оболочку для обновления рабочего каталога до «/data/local/tmp», поскольку файлы .tmp часто имеют разрешение по умолчанию на выполнение команд.
Как только бот определяет, что он вошел в ловушку, он использует команду wget для загрузки полезной нагрузки трех разных майнеров и curl, если wget отсутствует в зараженной системе.
Вредоносная программа определяет, какой майнер лучше всего подходит для эксплуатации уязвимости жертвы, в зависимости от производителя системы, архитектуры, типа процессора и оборудования.
Затем выполняется дополнительная команда chmod 777 a.sh для изменения настроек разрешений вредоносного дропа. Наконец, бот скрывает себя от хоста с помощью другой команды rm -rf a.sh* для удаления загруженного файла. Это также скрывает след того, откуда возникла ошибка, когда она распространяется на других жертв.
Исследователи изучили скрипт вторжения и определили три потенциальных майнера, которые могут быть использованы в атаке (все они доставляются с одного и того же URL-адреса):
http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash
Они также обнаружили, что скрипт увеличивает объем памяти хоста, активируя HugePages, что позволяет создавать страницы памяти, размер которых превышает размер по умолчанию, для оптимизации результатов майнинга.
Если майнеры уже используют систему, ботнет пытается сделать их URL-адрес недействительным и уничтожить их, изменив код хоста.
Пагубные и вредоносные криптомайнеры постоянно разрабатывают новые способы эксплуатации своих жертв. Прошлым летом Trend Micro наблюдала еще одну эксплуатацию ADB, которую они окрестили Satoshi Variant.
Outlaw, был замечен в последние недели, распространяя другой вариант майнинга Monero по всему Китаю посредством атак методом подбора на серверы. На тот момент исследователи T определили, начал ли ботнет операции по майнингу, но обнаружили в скрипте Android APK, что указывает на то, что устройства Android могут быть целью.
Изображение предоставлено Shutterstock.
Больше для вас
Что нужно знать:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Больше для вас
ICP растет, удерживая цену выше ключевых уровней поддержки
Internet Computer вырос, удерживая цену выше зоны поддержки на уровне $3.40, при этом всплески объёмов в начале сессии не смогли привести к устойчивому пробою.
Что нужно знать:
- ICP вырос на 0,6% до $3,44 на фоне роста объема торгов в ранние часы сессии на 31% выше среднего, после чего активность снизилась.
- Сопротивление в районе $3,52–$3,55 отклонило несколько попыток пробоя, удерживая токен в пределах диапазона.
- Поддержка в диапазоне $3.36–$3.40 осталась прочной, сохраняя краткосрочную структуру с более высокими минимуми ICP.
Главное
