Новое вредоносное ПО для криптоджекинга атакует устройства с операционной системой Android. Киберпреступники используют недавно обнаруженную критическую уязвимость на сервере Oracle WebLogic для доставки программы серого майнинга, в то время как файлы сертификатов скрывают вредоносный код.
Новый ботнет для майнинга криптовалюты обнаружен компанией по кибербезопасности Trend Micro, и, по ее данным, уже распространён в 21 стране. При этом Южная Корея лидирует по числу зараженных устройств.
Цепочка заражения начинается с использования вредоносной программой портов Android Debug Bridge, установленных на большинстве девайсов Android. Далее ПО самостоятельно оценивает возможности захваченного устройства, исходя из его мощности и аппаратного обеспечения, и само выбирает подходящий майнер. Выполняя в зараженной системе необходимые команды, ПО начинает майнинг и скрывается.
Использование ADB-портов, не требующих аутентификации по умолчанию, позволяет вирусу проникать в любую систему, которая ранее имела общее SSH-соединение с зараженным устройством. Это дает возможность взять под контроль все мобильные гаджеты и устройства Интернета вещей.
Та же самая уязвимость WebLogic также использовалась в кампании по распространению недавно обнаруженного Sodinokibi Ransomware .
Trend Micro рекомендует компаниям использующим WebLogic Server обновить свое ПО до последней версии для снижения риска криптоджекинга.
