全球首次爆發安卓挖礦蠕蟲 智能電視變“礦機”

日前，360 網絡安全研究院監測到全球首個安卓平臺挖礦蠕蟲 ADB.Miner，該惡意程序影響多款“ADB 調試”開關打開的智能電視、電視盒子、機頂盒等等。這組惡意程序并不是傳統的安卓病毒，而是專門在安卓設備后臺“挖礦”的新型惡意程序，24 小時內就有 5 千部設備被感染，截止目前有超過七千部設備被感染，中國和韓國是本次蠕蟲病毒的重災區。

從大門溜進的病毒

ADB 是連接安卓設備與 PC 端的橋梁，可以讓用戶在電腦上對設備進行全面的操作，是安卓系統為方便軟件開發者提供的一種調試接口，一般情況下軟件開發人員是通過啟用 USB 調試選項來使用這種接口的。但事實上，這種接口可以直接綁定到網絡端口上。一旦被綁定到網絡端口，攻擊者就可以在不借助物理接觸的前提下，遠程操作安卓設備。

5555 端口是安卓設備上 ADB 調試接口的工作端口，正常狀態下應該處于關閉狀態，但未知原因導致部分設備錯誤的打開了該端口，ADB.Miner 便通過這一端口入侵用戶的手機。

360 網絡安全研究院監測發現，5555 端口上的掃描流量從 2 月 3 日下午 15：00 左右，開始達到日常數據的 3 倍，24：00 左右到達 10 倍。這種異常現象，一般都預示著有新型的僵尸、蠕蟲或新的網絡事件出現，在進一步挖掘求證之后，360 網絡安全研究院發現了 ADB.Miner 蠕蟲。

2016 年 8 月全球首次大規模物聯網攻擊的“美國東海岸斷網”事件，就是由 360 網絡安全研究院的蜜罐系統首次監測發現的。360 監測出現的網絡流量異常，最終被證實是一個快速蔓延的僵尸網絡 Mirai。也正是由于這次事件的協助調查分析，案件告破后，360 獲得 FBI 的公開致謝。

智能電視也淪為“礦機”

2017 年以來，區塊鏈和虛擬貨幣的爆火使得全球范圍內的虛擬貨幣價格持續走高，因此引發了一陣“挖礦熱”。除了常規的通過礦機挖礦外，還有一些人萌生了借助挖礦病毒悶聲發大財的想法，也就是通過傳播病毒，把普通用戶的手機變成免費的“礦機”，最大限度降低挖礦成本。

360 近期發布的《安卓平臺挖礦木馬研究報告》稱:從 2013 年開始至 2018 年 1 月，360 烽火實驗室共捕獲安卓平臺挖礦木馬 1200 余個。僅 2018 年 1 月，就捕獲安卓平臺挖礦木馬近 400 個，占全部安卓平臺挖礦類木馬近三分之一。可以看出，安卓平臺的挖礦木馬正呈現爆發式增長。

而通過蠕蟲式傳播的挖礦惡意程序 ADB.Miner，則大大提高了傳播速度。

1. ADB.Miner 蠕蟲擺脫了通過“短信息/垃圾郵件”等社交誘騙的傳播方式，而是直接從 ADB 接口感染和傳播。

2. ADB 接口功能相當豐富，其中文件上傳功能及 shell 指令為蠕蟲的繁殖和運行提供了便利。

3. 在傳播中，ADB.Miner 復用了 MIRAI 中 SYN 掃描模塊的代碼，試圖加速對 5555 端口開放情況的探測過程，以便提高傳播速度。值得注意的是，這也是 MIRAI 的代碼第一次被用安卓設備上的惡意代碼中。

360 網絡安全研究院監測發現，ADB.Miner 蠕蟲的傳播速度大概在每 12 小時翻一倍，統計數據顯示，2 月 4 日 12 時大概看到有 2700 部設備被感染，而到當日午夜時這個數字已達到 5800。感染數字在 2 月 5 日 15 時左右達到 7000 后，已經維持了大約 20 小時不再上升，可以認為目前蠕蟲已經度過了爆發期，進入平穩期。

避免成為挖礦勞工  360 提供防御辦法

一旦感染 ADB.Miner，用戶的安卓設備將變成“礦機”，內部大量資源被惡意占用，耗電量也會大幅上升，致使安卓設備卡慢、發燙。如果惡意程序在手機中持續不斷地“挖礦”，用戶手機電池極有可能損壞，造成手機報廢。更值得注意的是，該惡意程序還具有 root 權限，存在更嚴重的安全隱患。

360 網絡安全研究院安全專家建議用戶，

1. 如果發現家中安卓設備出現發燙、卡慢的情況，及時查看并確保安卓設備的 ADB 調試處于關閉狀態，可在設置-系統-開發者選項-網絡 ADB 調試中查看；

2. 盡量避免 root 手機；

3. 避免下載安全性未知的應用；

4. 使用 360 手機衛士等安全軟件防范惡意程序。

來自: 雷鋒網