TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก NetLab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Botnet ตัวใหม่ ซึ่งกำลังแพร่ระบาดไปยังอุปกรณ์ Android ไม่ว่าจะเป็นสมาร์ตโฟน สมาร์ตทีวี หรือ TV Top Box อยู่ในขณะนี้ โดยอาศัยการสแกนพอร์ตสำหรับใช้ Debug เพื่อลอบติดตั้งมัลแวร์สำหรับขุดเหรียญ Monero สร้างรายได้ให้แก่ตนเอง
จากการตรวจสอบพบว่า Botnet นี้เริ่มแพร่กระจายตัวเมื่อวันเสาร์ที่ 3 กุมภาพันธ์ที่ผ่านมา โดยอาศัยการสแกนพอร์ต 5555 ซึ่งเป็นพอร์ต Android Debug Bridge (ADB) สำหรับใช้ Debug ระบบปฏิบัติการ Android จึงเป็นที่มาของชื่อ ADB.miner โดย Botnet ดังกล่าวทำตัวเสมือน Worm กล่าวคือ มันจะสแกนพอร์ต 5555 บนอินเทอร์เน็ตเพื่อค้นหาเหยื่อ หลังจากที่แพร่กระจายเข้าสู่อุปกรณ์ได้แล้ว ก็จะสั่งให้อุปกรณ์นั้นๆ สแกนหาเหยื่อรายใหม่ต่อไปเป็นทอดๆ จนถึงตอนนี้พบว่ามี Botnet ดังกล่าวสแกนอินเทอร์เน็ตแล้วเกือบ 7,400 หมายเลข IP และมีแนวโน้มเพิ่มขึ้น 2 เท่าทุกๆ 12 ชั่วโมง
นักวิจัยยังระบุอีกว่า ผลของการแพร่ระบาดของ ADB.miner ทำให้การสแกนพอร์ต 5555 เข้ามาติดอันดับที่ 4 ของพอร์ตที่ถูกสแกนบนอินเทอร์เน็ตมากที่สุด โดยเป็นรองเพียงพอร์ต 23, 1433 และ 22 เท่านั้น ซึ่งก่อนหน้านี้พอร์ตดังกล่าวไม่ติดแม้แต่อันดับ 1 ใน 10 จากการตรวจสอบ IP ต้นทาง (คือติดมัลแวร์ไปแล้ว) พบว่าส่วนใหญ่มาจากจีน (ประมาณ 40%) และเกาหลี (ประมาณ 30%)
ADB.miner ยังนับว่าเป็นมัลแวร์บน Android ตัวแรกที่มีการยืมโค้ดมาจาก Mirai IoT DDoS Botnet ชื่อดัง โดยดึงเอาโค้ดบางส่วนของการสแกนพอร์ตมาใช้งานในการแพร่กระจายตัวของตน และเมื่อติดตั้งตัวเองลงบนอุปกรณ์ของเหยื่อได้แล้ว ก็จะเริ่มขุดเหรียญ Monero เพื่อหารายได้ให้แก่ตนเองขณะที่สแกนอินเทอร์เน็ตเพื่อค้นหาเหยื่อรายใหม่ไปพร้อมๆ กัน
ทีมนักวิจัยยังไม่ได้เปิดเผยถึงรายละเอียดช่องโหว่หรือวิธีการที่ ADB.miner ใช้เพื่อเข้าควบคุมอุปกรณ์นอกจากแพร่กระจายผ่านพอร์ต 5555 แต่เชื่อว่าช่องโหว่ที่ใช้ไม่ได้เป็นช่องโหว่บนผลิตภัณฑ์ยี่ห้อใดยี่ห้อหนึ่ง คาดว่าส่งผลกระทบต่อ ADB บนระบบปฏิบัติการ Android ทั้งหมด อย่างไรก็ตาม โชคดีที่พอร์ต ADB ถูกปิดมาจากโรงงาน ทำให้ผู้ใช้ส่วนใหญ่ไม่ได้รับผลกระทบต่อ Botnet ดังกล่าว แต่ก็มีผลิตภัณฑ์บางยี่ห้อที่ทางเจ้าของเปิดใช้งานเพื่อจุดประสงค์บางอย่างเช่นกัน
ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/android-devices-targeted-by-new-monero-mining-botnet/
