“捉迷藏”僵尸网络增加针对安卓设备的感染向量

翻译：360代码卫士团队

自今年年初现身以来，“捉迷藏 (Hide and Seek)”物联网僵尸网络已在通过新向量增强其感染能力。最新僵尸网络样本寻找的是开启无线调试功能的安卓设备。

虽然物联网僵尸网络每天都出现一批消失一批，但“捉迷藏”是通过几天内快速感染超过9万台设备的方式引发人们的注意。最新版本中观测到的新型感染机制并没有利用某个漏洞，而是对设备的错误配置，这些设备配备通过 WiFi 连接的活跃 Android Debug Bridge (ADB)。

虽然安卓默认关闭这个选项，但设备厂商在生产阶段为了为产品定制化操作系统而将其开启。用户必须手动启动。

“捉迷藏”利用设备厂商的这种疏忽将其影响力扩展至数以万计的潜在僵尸。

Bitdefender 公司的安全研究员自从1月10日开始就一直在追踪“捉迷藏”僵尸网络的动向，并监控添加至新版本的新功能。电子威胁高级分析师 Liviu Arsene 表示，“这种新发现的样本通过利用安卓设备中的 ADB WiFi 功能添加功能，而在通常情况下开发人员通过 ADB 调试错误。”

利用开放的 ADB 连接并不新鲜。2月份就曾有报告指出，某僵尸网络释放了一个密币挖矿软件。

Bitdefender 表示，“捉迷藏”可将4万个新设备添加至僵尸军队，其中多数设备位于中国台湾、韩国和中国其它地区。

Bitdefender 公司的首席安全研究员 Alex Balan 表示，“捉迷藏”僵尸网络目前的目的似乎只是增长规模。尽管它支持数据渗透和代码执行功能，但研究员尚未看到“捉迷藏”对其使用。另外，尚未看到发动 DDoS 攻击的模块，而这是僵尸网络变现的一种主要方法。

从一开始，“捉迷藏”就清楚地表明并不在意所感染设备的类型。它首先针对的是 IP 摄像头，之后扩展至 DVR、NVR 和 IPTV 盒子。现在安卓设备也它纳入感染范围。

“捉迷藏”的开发人员为多个基础架构编译了二进制，包括 MIPS、ARM、Motorola 68020、SuperH、PowerPC、x86 和 x64。他们还开发了一个自定义 P2P 机制用于和其它受感染系统通信。

此外，“捉迷藏”恶意软件还增加了持久性能力，使其能够在受感染路由器重启后仍然存活。

“捉迷藏”僵尸网络现在使用的感染向量包括 telnet 扫描和暴力攻击，利用的是 AVTECH IP 摄像头、NVR 和 DVR 中的一个漏洞；利用 Wansview NCS601W 摄像头并扫描针对 ADB 连接的开放的 TCP 端口5555,。

原文链接

https://www.bleepingcomputer.com/news/security/hide-and-seek-botnet-adds-infection-vector-for-android-devices/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。