is702
ニュース

Android端末の「ADB接続」を介してマルウェア拡散する攻撃を確認

2018/08/23

トレンドマイクロは8月22日、公式ブログで「Android端末のADBポートが『Mirai』の亜種『Satori』の拡散に利用されていることを確認」と題する記事を公開しました。

トレンドマイクロは、2018年7月9日~10日、15日の2度にわたり、「5555番ポート」(TCP)を狙う新しいマルウェア拡散攻撃を確認しました。第1波が主に中国と米国から、第2波が主に韓国からのものでした。

この攻撃では、Android端末のコマンドラインツール「Android Debug Bridge(ADB)」が利用されていました。ADBは、Androidアプリのインストールやデバッグを行う際に、開発者が使用するツールです。開発者はADBを通じて、Android端末にさまざまなコマンドを送ることができます。その接続の際に、5555番等のポートが利用されます。

今回の攻撃で確認されたマルウェアは、開放された5555番ポートを検索し、ADBでの接続を介して拡散することが判明しています。攻撃は3段階で行われ、第1段階では、ADB接続を介してシェルスクリプトを作成し実行します。この第1段階のシェルスクリプトが、さらに第2段階のシェルスクリプトをダウンロードします。そして第2段階のシェルスクリプトが第3段階のバイナリファイルをダウンロードし実行します。このバイナリファイルが、仮想通貨の発掘やワーム活動による拡散等の不正活動を行います。

このバイナリファイルを解析したところ、ボットネット「Mirai」の亜種「Satori」と関連性があることが判明しました。今回確認された検体とSatoriは、同一の作成者によるものだと考えられています。

なお、マルチメディアデバイス、スマートTV、携帯電話といった48,000以上のIoT機器が、ADBを介した攻撃の影響を受ける可能性があります。直接インターネットに露出していないAndroid端末でも、設定に不備がある場合、攻撃の影響を受ける可能性があるため、今後の動向に注意してください。

■対策
Android 端末の設定を変更しても問題がない場合は、「設定」から「開発者向けオプション」を選択し、「USB デバッグ」が無効になっていることを確認してください。「開発者向けオプション」自体が無効になっているまたは表示されていない場合は自動的に「USB デバッグ」も無効になっています。もし、自身のデバイスが今回の脅威に感染した疑いがある場合、工場出荷時に戻すことでマルウェアを削除することが可能です。

モバイル端末のユーザは、定期的にデバイスのオペレーティングシステム(OS)およびアプリケーションを最新版に更新してください。これにより、デバイスの機能改善だけでなく、悪用される恐れのある脆弱性に対処することが可能になります。



2018年7月に5555番ポートで確認された活動

2018年7月に5555番ポートで確認された活動



  • VBBSSあんしんプラス
  • IT資産管理 Asset CHECKER Cloud
  • CLOMO MDM
VBBSSあんしんプラス
IT資産管理 Asset CHECKER Cloud
CLOMO MDM