با توجه به افزایش اخیر در قیمت ارزهای رمزنگاریشده، مجرمان سایبری بهطور فزایندهای هر پلتفرمی، ازجمله دستگاههای اینترنت اشیاء یا سیستمعاملهای اندروید و ویندوز را با بدافزارهایی که توانایی استفاده از CPU دستگاههای قربانی برای mine کردن ارزهای رمزنگاری را دارند، هدف قرار میدهند.
فقط در ماه گذشته، محققان کاسپرسکی برنامههای آنتیویروس جعلی را که با بدافزاری آلوده شده بودند که ارز رمزنگاریشده Monero را mine میکرد، حملات DDoS را راهاندازی میکرد و چندین کار دیگر را نیز انجام میداد که موجب از بین رفتن باتری گوشی میشد، کشف کردند[۱].
در حال حاضر، محققان امنیتی در Qihoo 360 Netlab که یک شرکت امنیتی فناوری اطلاعات در چین است، یک نوع جدید از بدافزارهای تحت اندروید را کشف کردند که ADB.Miner نامیده میشود، که طیف گستردهای از آدرسهای IP را برای پیدا کردن دستگاههای آسیبپذیر و آلوده کردن آنها بهمنظور mine کردن ارزهای رمزنگاریشده، اسکن میکند.
بر طبق گفته محققان، ADB.Miner اولین بدافزاری است که از کدِ اسکن برنامهریزیشده برای Mirai استفاده میکند. Mirai یک بدافزار باتنت اینترنت اشیاء بود[۲] که بسیاری از شرکتهای تأمینکننده اینترنت را در سال گذشته و با استفاده از حملات عظیم DDoS علیه Dyndns از کار انداخت[۳].
ADB.Miner دستگاههای اندرویدی ازجمله گوشیهای هوشمند، تلویزیونهای هوشمند و TV set-top boxها را با رابط کاربری ADB که بهطور عمومی در دسترس است و بر روی پورت ۵۵۵۵ اجرا میشود، اسکن میکند. سپس آنها را با یک بدافزار که ارز رمزنگاریشده Monero را برای سازندگان آن mine میکند، آلوده میکند.
Android Debug Bridge یا ADB یک ابزار command-line است که به توسعهدهندگان کمک میکند تا یک کد اندروید را بر روی یک شبیهساز debug کنند و به برخی از حساسترین ویژگیهای سیستمعامل دسترسی پیدا کنند.
لازم به ذکر است که تقریباً در تمام دستگاههای دارای سیستمعامل اندروید بهطور پیشفرض پورت ADB غیرفعال شده است، درنتیجه این باتنت تنها دستگاههایی را مورد هدف قرار میدهد که بهطور دستی پورت ۵۵۵۵ را فعال کردهاند.
علاوه بر mine کردن ارز رمزنگاریشدهMonore ، این بدافزار (ADB.Miner) که بر روی یک دستگاه آلوده نصب شده است، همچنین تلاش میکند تا خود را با اسکن کردن اهداف بیشتری در اینترنت گسترش دهد.
محققان دقیقاً مشخص نکردند که چگونه یا با بهرهبرداری از کدام آسیبپذیری ADB، مهاجمان بدافزار موردنظر را بر روی دستگاههای اندرویدی نصب میکنند.
بااینحال، محققان بر این باورند که این مهاجمان از هر آسیبپذیری که یک سازنده دستگاه خاص را هدف قرار میدهد، بهرهبرداری نمیکنند، مگر اینکه این آسیبپذیری طیف وسیعی از دستگاهها را تحت تأثیر قرار داده باشد.
طبق گفته محققان، پخش شدن این بدافزار از ۲۱ ژانویه ۲۰۱۸ آغاز شده است و اخیراً تعداد حملات نیز افزایش یافته است. از روز یکشنبه ۴ فوریه ۲۰۱۸، محققان ۷۴۰۰ آدرس IP منحصربهفرد را به همراه کد mine کردن Monero شناسایی کردند که بیش از ۵۰۰۰ دستگاه را در ۲۴ ساعت تحت تأثیر قرار داده است.
محققان تخمین زدهاند که بر اساس آدرسهای اسکن شده، بیشترین تعداد آلودگی توسط این بدافزار در چین (۴۰ درصد) و کره جنوبی (۳۱ درصد) دیده شده است.
برای مبارزه با چنین بدافزارهایی، به کاربران اندرویدی شدیداً توصیه میشود که برنامههای غیرضروری و غیرقابلاعتماد را از فروشگاه app store و یا حتی از فروشگاه رسمی Google Play نصب نکنند و دستگاههای خود را پشت firewall یا VPN قرار دهند.
منابع
[۱] https://apa.aut.ac.ir/?p=3324
[۲] https://thehackernews.com/2016/09/ddos-attack-iot.html
[۳] https://apa.aut.ac.ir/?p=1672
[۶] https://thehackernews.com/2018/02/cryptocurrency-mining-android.html
ثبت ديدگاه