• IT-Karriere:
  • Services:

ADB voraktiviert: Kryptomining über Port 5555

Zahlreiche günstige Android-Geräte werden mit voraktivierter ADB-Schnittstelle ausgeliefert und können aus dem Netz kontrolliert werden. Derzeit wird das von einer Kryptomining-Kampagne genutzt.

Artikel veröffentlicht am ,
ADB ist auf vielen Geräten voraktiviert.
ADB ist auf vielen Geräten voraktiviert. (Bild: Pixabay/Montage Oliver Nickel/CC0 1.0)

Viele Android-Geräte sind für verstecktes Kryptomining anfällig, weil sie mit aktiviertem ADB-Modus (Android Debug Bridge) ausgeliefert werden. ADB ist eigentlich für Entwickler gedacht und wird häufig von Moddern verwendet, um alternative ROMs auf ein Gerät aufzuspielen. Es ist keine Authentifizierung vorgesehen, betroffen sind aktuell vor allem Geräte in China.

Stellenmarkt
  1. RENK AG, Augsburg
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Düsseldorf, Dortmund, Duisburg

ADB lauscht auf Port 5555 nach Befehlen und ist ohne eine Firewall auch aus dem Internet zugänglich. Portscans oder die Suche mit speziellen Suchmaschinen wie Shodan zeigen, dass zahlreiche Geräte mit Android sichtbar sind - von digitalen Videorekordern über Android-TV-Geräten bis hin zu Smartphones, wie der Sicherheitsforscher Kevin Beaumont schreibt. Zahlen der chinesischen Sicherheitsfirma Qihoo360 zeigen, dass bereits viel Traffic über den Port abgewickelt wird.

Derzeit für Kryptomining-Kampagne genutzt

Die verwundbaren Geräte werden derzeit für verstecktes Kryptomining genutzt. Dafür wird nach Angaben von Qihoo360 eine veränderte Version des Mirai-Codes genutzt. Mirai hatte im Jahr 2016 Hunderttausende IP-Kameras und andere ungesicherte Geräte befallen und zahlreiche Internetdienste über Stunden lahmgelegt. Im aktuellen Fall wird der Code genutzt, um verwundbare Geräte zu finden. Nach derzeitigem Kenntnisstand sind rund 80.000 Geräte weltweit befallen, die allermeisten davon in China. Eine detaillierte Auflistung betroffener Geräte gibt es derzeit nicht, es dürfte sich vor allem um günstige Modelle handeln.

Mit der Malware wird derzeit vor allem die Krpytowährung Monero geschürft, die entsprechenden Adressen sind pool.monero.hashvault.pro:5555 und pool.minexmr.com:7777. Ein Angreifer könnte auf einem solchen Gerät allerdings auch andere Malware installieren. Verstecktes Kryptomining ist auch auf dem Desktop ein Problem, Apple versucht außerdem mit Richtlinien im Appstore dagegen vorzugehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. XFX Radeon RX 6800 QICK319 BLACK Gaming 16GB für 949€)

CruZer 14. Jun 2018

Unter anderem deshalb: AndroidOne ;-)

Tautologiker 13. Jun 2018

https://www.shodan.io/ Hab es nie selbst verwendet, aber im Prinzip ist das quasi sowas...


Folgen Sie uns
       


Die Tesla-Baustelle von oben (Januar-November 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (Januar-November 2020) Video aufrufen
    •  /