24時間で約5千台のAndroid搭載機器に感染した自己増殖機能を持ったマルウェア「ADB.Miner」が登場!ワーム感染すると暗号通貨「Monero」が勝手にマイニングされる



24時間で約5千台のAndroid機器がボットネットに感染!暗号通貨を勝手にマイニングされる事態に

中国のセキュリティーベンダーである360 Netlabは4日(現地時間)、Androidを搭載した機器を対象とした悪意のあるコード「ADB.Miner」の感染速度が日本時間(JST)の2018年2月3日(土)16時頃から急激に増加したことを検知したと報告しています。

調査および報告を行なった同社のHui WANG氏によれば、この悪意のあるコード感染は最初の感染を2018年1月31日に引き起こしており、ワームのように急速に感染数を増やしたことによって同社のセキュリティー監視システム「Netlab」に感知されたとのこと。

この悪意のあるコードに感染すると、気付かずに暗号通貨の「Monero」を勝手にマイニングされるようになってしまうということで、その後は感染したIPアドレス数は7000をピークに2月5日以降は安定しており、急増傾向は収まっているとしています。

また感染したAndroid搭載機器は一部がテレビなどに接続するセットトップボックス(STB)だとしており、感染した国・地域では39%の中国(香港・台湾含む)や39%の韓国が大半を占めており、日本でも若干の感染があるとしています。


2018年2月6日時点における感染国・地域(緑が濃いほうが感染数の多い場所)



感染数の推移

このADB.Minerと名付けられたボットネットは、Moneroをマイニングするだけではなく、ネットワークをスキャンして開発者向けの「Andrid Debug Bridge(ADB)」をネットワーク経由で利用する際に利用されるTCPポート(5555)が開いた他の機器を探し出し、新たにボットネットに感染させようと試みるようになっています。

そのため、指数関数的に急激に感染数が伸び、同社では実際に2月3日12時(JST)から2月4日12時(JST)までの24時間にTCPポートの5555への攻撃回数が急激に伸びたデータを示し、この24時間の間にTCPポートの5555に対して攻撃したホスト数は約5000台に増加していると報告しています。

なお、ADB.Minerに感染すると「Moneroをマイニングするようになる」と説明しましたが、今も感染してしまった機器では勝手にMoneroがマイニングされ続けていることが観測されており、攻撃者は「Monero Hash Vault」というマイニングプールを利用してウォレット「44XT4KvmobTQfeWa6PCQF5RDosr2MLWm43AsaE3o5iNRXXTfDbYk2VPHTVedTQHZyfXNzMn8YYF2466d3FSDT7gJS8gdHAr」へマイニングしたMoneroを送金するように設定していることが判明しています。

Moneroは他の暗号通貨と比べても匿名性が高いことから悪事に度々利用されているのですが、マイニングプールのステータスページを利用することで今そのウォレットに対してどれくらいのMoneroが送金されたのかを簡単に確認することができるようになっています。


筆者が2018年2月6日23時時点で確認したところではすで該当ウォレットには約0.03XMR(約581円)がマイニングされており、今も毎秒5.67KH(だいたいGTX 1070 7枚分と同程度)ほどのハッシュレートでマイニングされています。

読者の中にはたった581円しか稼げないのかと感じる方もいるかも知れませんが、マイニングされる額が少ないから問題ないというわけにはいきませんし、最近ではWebサイトが改ざんされて、Moneroがマイニングされるといった話は良く耳にしますが、Android機器を狙って、かつ自己増殖機能が実装されているボットネットはこれまで耳にしなかっただけに、非常に衝撃的なニュースだと言えるでしょう。

今後は今回のボットネットと同様に、Android向けのボットネットやマルウェアに自己増殖機能が実装される恐れがあると考えると非常に怖いです。またもしADBをネットワーク経由で利用している場合は、極力オフにしてUSBケーブル経由でADBを利用するようにした方が良いかもしれません。

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading
・ADB.Miner: More Information

共有する

はてなブックマークに追加

関連記事

これなら誰でもひと目でわかる!プリンターなどの周辺機器の状態管理【いまから知っ得 Windows 7】

パソコンの楽しみのひとつは、プリンターやスキャナーなど周辺機器(デバイス)を購入して利用できる点だ。ところが、購入した周辺機器が使えない、どこを見れば認識されているのかがわからないなどの経験をお持ちの人はいないだろうか…

ネットブックの使い勝手を良くする裏技 5選  知っ得!虎の巻 総まとめ【′09 GW特集】

仕事だけでなく、プライベートでも知っておくと便利なパソコンの裏技やツールを紹介する「知っ得!虎の巻」。パソコンはちょっとした工夫でより使いやすくなる。パソコンの使い方に慣れてくると、わずらわしいと感じる操作にも気づいて…

フィッシング詐欺を防ぐ!「見える化」が変える利用者の安全と企業ブランド

ショッピングやバンキングなどの実生活の営みが次々にインターネット上で実現されている。店舗までの物理的な距離や固定したサービス受付時間など、様々な制限から解放されたインターネットは、利用者にかつてない利便性を与えてくれて…

日本初のAndroid搭載ケータイ「HT-03A」が7月10日に発売決定

NTTドコモは2009年7月1日、OSにグーグルのAndroidを搭載した携帯電話「docomo PRO series HT-03A(以下、HT-03A)」を、2009年7月10日より発売すると発表した。HT-03Aは、日本初のAndroid搭載ケータイ。Gmailを自動で受信したり、Google…

大手2社が新端末! Androidケータイが今年のトレンドとなる理由【世界のモバイル】

日本でもドコモからAndroid搭載端末のHT-03Aが発売開始されたことから「Android」の名前をニュースなどでよく見かけるようになってきた。Android携帯、すなわちAndroid OSを採用したスマートフォンは2008年に登場したHTCの「T-Mobile G1…