Botnet ที่ทำการขุดคริปโตตัวใหม่นั้นได้ตรวจพบเจอโดย TrendMicro ซึ่งเป็นการใช้ช่องโหว่ของ Android Debug Bridge หรือระบบที่ออกแบบมาเพื่อช่วยแก้ไขปัญหาของแอปที่ติดตั้งลงบนโทรศัพท์และแท็บเล็ต Android ได้จำนวนมาก โดย malware นี้ได้ถูกตรวจพบเจอใน 21 ประเทศแล้ว และเจออย่างแพร่หลายแล้วในเกาหลีใต้
การโจมตีนั้นใช้ประโยชน์จากช่องทางที่เปิดพอร์ต ADB ซึ่งไม่จำเป็นจะต้องมีการพิสูจน์ตัวตน ( authentication) เป็น default และเมื่อติดตั้งได้เพียงแค่ครั้งเดียวเท่านั้น ก็จะเริ่มกระจายไปที่ระบบอื่นๆ ได้เลย ตามที่ที่เคยมีการเชื่อมต่อ SSH มาก่อนหน้านี้ได้ ซึ่งการเชื่อมต่อแบบ SSH นั้นมีการใช้งานกับอุปกรณ์ที่หลากหลายมาก อย่างพวกอุปกรณ์ IoT ทั้งหลายก็ใช้หมด ซึ่งแปลว่าผลิตภัณฑ์จำนวนมากนั้นจะมีความเสี่ยงไปด้วยแล้ว
“การเป็นอุปกรณ์ที่รู้จัก (known device) แปลว่า 2 ระบบจะสามารถเชื่อมต่อกันได้โดยที่ไม่จำเป็นจะต้องมีการพิสูจน์ตัวตน (authentication) อีกต่อไปหลังจากมีการแลกเปลี่ยนกุญแจ (key) กัน ซึ่งแต่ละระบบจะมองว่าอีกฝั่งหนึ่งปลอดภัย” นักวิจัยกล่าว “การปรากฎตัวของกลไกการแพร่กระจายในลักษณะนี้แปลว่า malware ตัวนี้สามารถโจมตีได้อย่างแพร่หลายได้ด้วยช่องทาง SSH”
มันเริ่มต้นด้วย IP Address 45[.]67[.]14[.]179 ซึ่งผ่านมาที่ช่องทาง ADB แล้วใช้คำสั่ง shell เพื่ออัพเดท working directory ไปที่ “/data/local/tmp” เป็นไฟล์ .tmp ซึ่งมักจะได้รับอนุญาตให้รันคำสั่งใดๆ ได้โดย default และเมื่อบอทมองว่าเข้าถึงจุดนั้นได้แล้ว ก็จะใช้คำสั่ง wget เพื่อดาวน์โหลดตัวขุดมาวางไว้ 3 ตัวที่แตกต่างกัน แล้วจะตัดสินใจว่าตัวขุดใดเข้าได้ดีที่สุดกับระบบที่รันอยู่
จากนั้นจึงรันคำสั่ง chmod 777 a.sh เพื่อเปลี่ยนสิทธิของไฟล์สคริป แล้วท้ายสุดจึงรันสคริปเพื่อเริ่มทำงานพร้อมกับลบไฟล์สคริปทิ้งเพื่อซ๋อนตัวด้วยคำสั่ง rm -rf a.sh* อีกทั้งยังซ่อนเส้นทางที่มาจากต้นทางในการกระจายไปยังเหยื่อรายอื่นๆ อีกด้วย
ถ้าหากว่าคุณตรวจพบเจอบอทที่ใช้ระบบของคุณ ก็พยายามจัดการให้บอทเหล่านั้นใช้งาน URL ต่างๆ ไม่ได้ และจัดการ kill process พร้อมกับเปลี่ยนสิทธิในการรันไฟล์หรือว่าลบไฟล์ต่างๆ ทิ้งต่อไป
Source : https://www.coindesk.com/trendmicro-detects-crypto-mining-malware-affecting-android-devices