В интернет вернулись «черви» — чтобы нелегально майнить криптовалюту

В Китае и Южной Корее
стремительно распространяется вредоносная программа ADB.Miner с функциями
криптомайнра. Методы распространения ADB.Miner послужили поводом назвать его «червем».

Валютный «червь»

Эксперты по информационной безопасности компании 360Netlabвыявили новый криптомайнер, который атакует устройства на базе Android — отсмартфонов и планшетов до smart-телевизоров — и использует их процессорныемощности для генерации криптовалюты Monero.

Название ADB.Miner отсылает к официальному отладочномуинструменту Android Debug Bridge (ADB), с помощью которого иногда открываетсязакрытый по умолчанию порт 5555. Именно устройства с этим открытым портомADB.Miner и заражает, а затем начинает активно искать другие гаджеты с открытымпортом 5555 — для дальнейшего своего распространения.

Достигнув пика по количеству заражений — 7 тыс. устройств вКитае и Южной Корее — ADB.Miner остановил свой разгон.

Код Mirai

Первые случаи заражения произошли в районе 31 января 2017 г.Большая часть зараженных устройств — это смартфоны, планшеты иsmart-телевизоры. Эксперты предпочли не называть конкретные модели, но отметили,что зараженные устройства активно пытаются распространять вредоносный код идальше.

Мобильный «червь» для майнинга заразил тысячи устройств под Android в Китае и Южной Корее

Исследователи также отметили, что в модуле сканированияADB.Miner присутствуют фрагменты кода Mirai, печально знаменитого троянца,сформировавшего мощный ботнет из миллионов устройств интернета вещей ипроизводившего мощнейшие DDoS-атаки с его помощью. Например, в 2016 г. Miraiатаковал DNS-провайдера Dyn, выведя из строя целый ряд крупнейших мировыхинтернет-платформ.

«Червь» илипритворяется?

Эксперты уже назвали ADB.Miner «червем» в связи со сходствомспособа его распространения с программами этого класса, вызывавшими эпидемии вконце 1990-х — начале 2000-х. Эпоха таких эпидемий считается давнозакончившейся — большинство киберзлоумышленников к концу 2000-х переключилисьна более прибыльные виды вредоносного ПО, в первую очередь, троянцев. В 2010-егоды черви продолжали появляться, но становились все более редким явлением.

Самую мощную червеобразную эпидемию устроилвредонос-шифровальщик WannaCry, использовавший для распространения утекшиеэксплойты АНБ. К Агентству, по всей видимости, имели отношения и черви Stuxnetи Duqu, хотя они предназначались не для широкомасштабного распространения, адля атак на конкретные сети. Но последним истинно компьютерным «червем»,устроившим действительно глобальную эпидемию, был, по-видимому, Conficker, в2008-2009 гг. атаковавший компьютеры в 190 странах мира.

Что касается «червей» на мобильных устройствах, то они покачто редки. Самым известным к настоящему времени стал Samsapo, червь 2014 г., атаковавшийрусскоязычных пользователей.

«Попытки оснастить майнер для мобильных устройствфункциональностью “червя” выглядит довольно логичным шагом: в конце концов,процессоры мобильных устройств уступают по вычислительной мощности центральными графическим процессорам персональных компьютеров, а значит, чем больше зараженныхмобильных устройств, тем лучше, — отмечает ОлегГалушкин, эксперт по информационной безопасности компании SEC Consult Services.— Судя по начальной скорости распространения ADB.Miner, расчет был верен».