Analyse: Malware spredt til tusinder af Android-enheder - sådan kan du sikre din

Illustration: MI grafik
Sikkerhedsforsker har estimeret antallet af Android-enheder, ramt af malware, som medfører mining af kryptovaluta på enheden.

Mange Android-enheder er helt åbne for angreb, fordi leverandørerne tilsyneladende ‘har glemt’ at deaktivere en kraftig fejlsøgningsfunktionalitet, som findes i Android. Denne kaldes for Android Debug Bridge (ADB) og giver udviklere og andre næsten fuld kontrol over enheden, uden at de på nogen måde behøver logge ind.

Normalt fungerer ADB, når Android-enheden er fysisk tilknyttet til en pc med et USB-kabel. Men det er også mulig at aktivere ADB via et netværk. Så lytter enheden til TCP-netværksporten 5555. Dette kan udnyttes af folk med onde hensigter, og det sker faktisk.

ADB.miner

Allerede i februar i år omtalte Bleeping Computer en rapport på kinesisk fra Qihoo 360's Network Security Research Lab, som beskriver et botnet, der fik navnet ADB.miner.

Læs også: Tusindvis af Android-enheder ramt af ny malware: Bruger usædvanlig port

Det drejede sig om malware, som spreder sig på en orm-lignende måde ved at udnytte, at mange Android-enheder eksponerer port 5555, uden at brugerne er klar over det. Når enheden er blevet inficeret, udvinder ADB.miner kryptovalutaen Monero på enheden.

Derudover spredes den også til andre sårbare enheder. Ormen skulle efter sigende være delvist baseret på kode fra Mirai-malwaren. Siden februar er ormen blevet spredt til mange flere enheder.

Tusindvis af enheder inficeret

Sikkerhedsforskeren Kevin Beaumont kom for nylig med en opdateret rapport om malwaren. Han mener, at ADB.miner har spredt sig til mange tusind enheder, måske mere end 100.000.

Estimatet er baseret på registrering af IP-adresser, som scanner nettet efter åbne 5555-porte. Der er mange potentielle fejlkilder ved nogle af disse registreringer. For eksempel kan der være en helt anden trafik, som også benytter TCP-port 5555.

Og så kan der gemme sig mange sårbare enheder bag én IP-adresse, og én og samme enhed kan over tid benytte flere forskellige IP-adresser.

Beaumont skulle ikke blot have fundet smartphones med åbne 5555-porte. Også helt andre typer Android-baserede enheder kan være berørt. Men han har ikke navngivet nogle af disse enheder.

Også via internettet

Det er også mulig at få et vist overblik over berørte enheder via søgetjenesten Shodan. I skrivende stund finder den næsten 17.000 berørte offentlige IP-adresser, mere end 10 procent flere end i går. De fleste hører hjemme i Sydkorea, Taiwan og Kina.

Shodan scanner ikke bare efter åbne porter, men også faktiske ADB-grænseflader. Det giver mere nøjagtige tal, og tjenesten opgiver i mange tilfælde også modelbetegnelsen på enheden.

En modelbetegnelse, der dukker op gentagne gange i de begrænsede søgeresultater, som digi.no har adgang til, er SAMSUNG-SM-N900A. Det er AT&T-udgaven af Samsung Galaxy Note 3. En andenn model er PIXEL 2 XL, altså Pixel 2 XL-enhederne fra Google.

Der kan selvfølgelig være tale om enheder, hvor brugeren selv har valgt at understøtte ADB via netværket. Men brugere af i hvert fald disse enheder bør måske tage et ekstra kig på afsnittet om, hvordan ADB kan deaktiveres.

En forudsætning for, at ADB.miner skal kunne sprede sig, er, at Android-enheder med åben TCP-port 5555 er tilgængelige for en inficeret enhed via netværket, og at porten ikke er spærret i netværket. En inficeret enhed kan altså for eksempel inficere andre enheder, hvis de befinder sig på samme lokalnet – såfremt trafik via TCP-port 5555 tillades.

Men som Shodan-resultaterne viser, findes der også mange Android-enheder, som eksponerer denne port direkte mod internettet.

Metasploit

Ifølge Beaumont findes der også et ADB-modul til Metasploit-værktøjet til Rapid7. Det kan bruges i fjern-installere og starte ‘payload’ på Android-enheder, som lytter efter debugging-meddelelser. Modulet er mindst 11 måneder gammelt, men kan alligevel bidrage til at give folk med onde intentioner ideer til, hvordan de berørte enheder kan udnyttes.

Beaumont skriver, at det ikke er Android Debug Bridge-funktionaliteten i sig selv, der er problemet, men måden de enkelte leverandører af Android-enheder fejlkonfigurerer funktionaliteten på.

Almindelige Android-brugere har ikke behov for at have ADB aktiveret på deres enheder, og i alle tilfælde ikke ADB over netværk.

Kan deaktiveres

Det er muligt for brugerne at deaktivere ADB på enheder, hvor det er aktiveret af leverandøren. Men dette kræver lidt mere end bare et tryk på en knap, så brugerne bør være sikre på, at de har forstået fremgangsmåden, før de giver sig i kast med det.

Først skal brugeren aktivere udviklerindstillingerne (developer options) på enheden. Hvordan dette gøres, er beskrevet af Google her.

Under udviklerindstillingerne findes der en valgmulighed, der hedder USB-fejlsøgning. Tilsyneladende er det tilstrækkeligt at sikre, at dette valg er deaktiveret på enheden, hvis det altså er aktiveret. Er det ikke det, er ADB sandsynligvis slukket.

Mere specifikt

Det er også muligt at sikre, at ADB kun understøtter USB-tilkobling. Ved hjælp af Googles ADB-værktøj, som er del af denne pakke, kan en bruger tjekke, om ADB på en Android-enhed er tilgængelig via netværket ved at skrive følgende kommando:

*adb connect *

Enhedens IP-adresse til finder man som regel i indstillingerne under ‘Om enheden/Status’.

Hvis tilkoblingen lykkes, svarer kommandoen:

connected to :5555

Hvis man ikke ønsker, at enheden skal understøtte ADB via netværk, kan dette deaktiveres ved at slå USB-understøttelse til i stedet. Dette gøres med kommandoen:

adb usb

Deaktivering af understøttelsen af ADB via netværk, foretaget ved hjælp af ADB-værktøjet på en Windows-pc. Android-enheden, digi.noi brugte i testen, var en Samsung Galaxy S7. ADB via netværk var ikke aktiveret på forhånd på denne enhed. Illustration: Screendump, digi.no

Du kan læse mere om, hvordan ADB kan bruges her

Artiklen er fra digi.no

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017