新僵尸网络开始利用安卓的WiFi ADB调试功能感染设备

年初时由比特梵德发现的物联网僵尸网络NHS感染数万台设备,不过在后续这段时间里该网络感染更多设备。

不过这些被感染的设备大多数都是物联网设备,NHS最初也是通过知名的物联网蠕虫病毒MIRAI进行感染的。

然而最新监测数据显示NHS 开始利用安卓系统的ADB功能进行感染,只要安卓设备开启Wi-Fi即可被探测到。

新僵尸网络开始利用安卓的WiFi ADB调试功能感染设备

通过WiFi ADB感染安卓设备:

ADB功能即安卓系统预留给开发者的调试功能,开发者利用该功能可以获得安卓系统最高权限并执行命令行。

正常情况下制造商生产的安卓设备默认情况下是关闭ADB功能的,但总有些制造商粗心没有在出厂进行检查。

NHS僵尸网络正好利用这个弱点开始探测开启 ADB 的安卓设备,探测到即可连接再执行恶意命令进行感染。

安卓的ADB调试在Wi-Fi网络下默认端口为5555,也就是说任何人探测到设备后都可以执行最高权限的命令。

NHS已经具备开机自启动的能力:

绝大多数针对LINUX系统的物联网病毒都不具备开启自启动的权限,因此只要重启系统即可轻易将病毒清除。

在经过将近1年的发展后目前已有部分病毒可以开机自启动,它们将自身复制到/etc/init.d/ 目录实现自启动。

所幸这次针对安卓系统的变种暂时还无法执行开机自启动,不过对于用户来说关闭安卓ADB功能才是更重要。

安卓为什么必须关闭ADB功能:(即WiFi/USB调试模式)

正如前文所提ADB功能是提供给开发者调试使用的,开启ADB功能后任何人连接设备后都可以获得最高权限。

而国内很多助手类的应用程序也需要开启ADB功能才可以使用,开启后这些程序给用户自动安装捆绑应用等。

但是ADB的强大远远不止于此,例如即便没有你的锁屏密码也可以通过ADB连接设备后再清除密码进入系统。

所以对于绝大多数用户来说不开启ADB功能是最好的选择,即便要使用也需要用完后立即关闭防止安全威胁。

本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

发表评论