惡意軟體利用 Android 手機跟平板漏洞，用你的手機幫駭客挖礦

跨國軟體公司 Trend Micro（趨勢科技）監測到新的殭屍挖礦軟體。這種新的殭屍軟體利用安卓（Android）手機和平板電腦應用程式的裝置端口漏洞進行攻擊。目前已經在 21 個國家發現這種惡意攻擊軟體，尤其在韓國更是嚴重。

Android Debug Bridge（ADB）命令列工具是 Android 軟體開發工具（Android SDK ），可以用來處理裝置間的通訊，也讓開發人員可以在Android裝置上執行和除錯應用程式。而這次的惡意攻擊就是利用 ADB 的漏洞。

這次攻擊利用了在連接 ADB 端口時不須驗證的漏洞安裝殭屍軟體，且一旦安裝以後就會自動擴算制安全外殼協定（Secure Shell，SSH）¹之前連接的所有系統，從移動設備到物聯網的工具（Internet of Thing，IoT），這意味著受影響的產品眾多。

[註*1]安全外殼協定（Secure Shell，SSH）是加密網路傳輸協定，可在不安全的網路中提供安全的傳輸環境。SSH 透過在網路中建立安全隧道，以實踐 SSH 用戶端和伺服器的連接。而 SSH 最常見的用途是遠端登入系統，用戶通常利用 SSH 來傳輸命令列介面和遠端執行命令。

根據趨勢科技的說法：

之前 SSH 連接的系統表示之前兩個系統之間在一開始密鑰交換之後，就已經認證可以相互通訊，每個系統都認為另一個系統是安全的。而像這種惡意疃以就是利用 SSH 的連結過程散播。

這類的惡意程式碼 45[.]67[.]14[.]179 經由 ADB 連線植入腳本，並加工作目錄更新為「/ data / local / tmp」，因為「.tmp」的文件通常有執行明令的默認權限。

而若是這類的惡意程式確定進入了系統的誘捕系統（Honeypot）²，它就會使用 wget ³下載三個殭屍挖礦軟體的有效載荷（payload），而如果系統中沒有 wget，惡意程式會執行 curl 下載有效載荷。

而惡意程式會根據受害者系統的類型、架構、處理器、硬體確定要使用何種殭屍挖礦軟體，緊接著，惡意程式會執行附加命令 chmod 777 a.sh 以更改「刪除惡意軟體」的權限，最後，會執行 rm -rf a.sh * 命令，將殭屍挖礦軟體隱閉起來，不讓系統發現，而這樣也會讓這個惡意程式擴散到其他系統。

而如果已經確定了受害者系統最適合的殭屍挖礦軟體，惡意程式會更改主機的 Hostcode，終止其他兩個殭屍挖礦軟體。更糟糕的是，研究人員還發現這些惡意程式會啟用 HugePages 來撐強主機的內存，優化挖礦輸出。

[註*2]：誘捕系統（Honeypot），其設計目的為佈署讓攻擊者攻陷之假系統，如同蜂蜜捕捉昆蟲般，誘使攻擊者偵測、攻擊該系統，

[註*3]：GNU Wget（簡稱：Wget）是一個在網路上進行下載的簡單而強大的自由軟體，其本身也是GNU計劃的一部分。它的名字是「World Wide Web」和「Get」的結合，同時也隱含了軟體的主要功能。目前它支援通過HTTP、HTTPS，以及FTP這三個最常見的TCP/IP協定下載。

研究人員檢查了這些惡意腳本，確定了這三種殭屍挖礦轉體，且都是由相同的 URL ：

http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash

惡意軟體正在不斷發展演化，事實上，在去年，趨勢科技也發現了另外一個殭屍網路變種，稱作 Satoshi Variant。另外，在過去幾週，趨勢科技也發現 Outlaw 駭客集團在中國散播另外一種惡意程式，用於 Monero 的挖礦，且疑似也是針對安卓的設備，因為在惡意程式的腳本發現了一個安卓應用程式。