image

Uitbraak Android-worm beperkt tot 7.000 apparaten

dinsdag 6 februari 2018, 12:48 door Redactie, 2 reacties

De Android-worm die zich de afgelopen dagen in voornamelijk China en Zuid-Korea verspreidde lijkt geen nieuwe apparaten meer te infecteren. In totaal zijn er 7.000 Android-apparaten besmet geraakt. Het gaat in ieder geval om tv-boxes. De overige apparaten zijn nog niet geïdentificeerd.

De worm maakt gebruik van de Android Debug Bridge (ADB) om Android-apparaten via internet te infecteren. Via ADB is het mogelijk om toegang tot een Android-apparaat te krijgen, bijvoorbeeld via een computer. Normaliter is ADB niet via internet toegankelijk. In een nieuwe analyse over de worm meldt securitybedrijf Qihoo 360 dat de aanvallers achter de worm niet in staat zijn om ADB op afstand voor het internet open te zetten.

De ADB-interface was al op de besmette apparaten geopend. Het is voor de onderzoekers nog onbekend hoe en wanneer dit is gedaan. Wanneer de infectie succesvol is wordt er een cryptominer op het apparaat geïnstalleerd en zal het apparaat via poort 5555 naar andere ADB-interfaces zoeken zodat de worm zich kan verspreiden. Volgens Qihoo 360 is de codestructuur gelijk aan die van Mirai, de bekende Internet of Things-malware. Er zijn negen exemplaren van de worm gevonden.

Reacties (2)
06-02-2018, 13:00 door Anoniem
Mogelijk dit onderstaand scenario? (reacties zijn welkom: ik pretendeer niet alles van Android te weten)

Het zou kunnen dat men de Android phone in de 'developer mode' heeft gezet en vervolgens ADB heeft geconfigureerd.
Maar standaard staat een Android niet in developer-mode, dus misschien is het daarom dat de schade alleen beperkt is gebleven bij bepaalde gebieden.

De malwarebouwers moeten dit ook weten, anders is geen besmetting mogelijk.
08-02-2018, 16:52 door Anoniem
Heb ook zo'n Chinees TV Boxje en raad eens.. standaard af fabriek geroot en ADB open
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.