24時間で5000台のAndroid端末に感染して仮想通貨のマイニングを開始するマルウェアが報告される

by Deyvi Romero

仮想通貨「Monero(モネロ)」のマイニングを行うワームのようなマルウェアの存在が報告されています。このマルウェアはAndroid端末を中心として、わずか24時間で5000台以上に感染した可能性があると見られています。

Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading
http://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading-en/

In just 24 hours, 5,000 Android devices are conscripted into mining botnet | Ars Technica
https://arstechnica.com/information-technology/2018/02/out-of-nowhere-currency-mining-botnet-infects-5000-android-devices/

中国のセキュリティ会社・Netlabが公開した内容によると、新たにワームのような形で感染していくマルウェアが確認されたとのこと。このマルウェアの拡散がNetlabのシステムによって確認されたのはグリニッジ標準時の2018年2月3日15時ですが、さかのぼると1月31日には初期の感染があったとされています。

このマルウェアはユーザーによる動作をほぼ必要とせず、一度マルウェアに感染したAndroid端末やAndroid TV Boxは「Mirai」コードを使ってネットワークをスキャンし、5555番のポートがオープンになっているデバイスを探しだし感染を広げていきます。5555番のポートは通常閉じていますが、Android Debug Bridgeのような開発ツールはこのポートを開くようになっています。

Netlabの研究者らは、このマルウェアがわずか24時間で5000台の端末に感染した可能性があることから、「マルウェアの動きは非常に速い」と結論づけています。ただし、研究者らは今回発見されたマルウェアが「どのように感染するのか」といった情報を一部非公開にしており、これはマルウェアが利用しているAndroidの脆弱性を他のアタッカーが利用することを防ぐためです。感染端末の約40％は中国、約30％は韓国のものであるとのこと。

デバイスは一度ワームに感染するとモネロと呼ばれる仮想通貨のマイニングを始めます。今回のワームがデバイスにもたらす正確な影響は明かされていませんが、2017年12月にはモネロのマイニングを行うAndroidマルウェアが端末を物理的に破壊したというケースも報告されています。

感染したスマホを物理的に破壊する可能性を秘めた恐怖の多機能マルウェア「何でも屋」が登場 - GIGAZINE