24時間で約5千台のAndroid搭載機器に感染した自己増殖機能を持ったマルウェア「ADB.Miner」が登場!ワーム感染すると暗号通貨「Monero」が勝手にマイニングされる



24時間で約5千台のAndroid機器がボットネットに感染!暗号通貨を勝手にマイニングされる事態に

中国のセキュリティーベンダーである360 Netlabは4日(現地時間)、Androidを搭載した機器を対象とした悪意のあるコード「ADB.Miner」の感染速度が日本時間(JST)の2018年2月3日(土)16時頃から急激に増加したことを検知したと報告しています。

調査および報告を行なった同社のHui WANG氏によれば、この悪意のあるコード感染は最初の感染を2018年1月31日に引き起こしており、ワームのように急速に感染数を増やしたことによって同社のセキュリティー監視システム「Netlab」に感知されたとのこと。

この悪意のあるコードに感染すると、気付かずに暗号通貨の「Monero」を勝手にマイニングされるようになってしまうということで、その後は感染したIPアドレス数は7000をピークに2月5日以降は安定しており、急増傾向は収まっているとしています。

また感染したAndroid搭載機器は一部がテレビなどに接続するセットトップボックス(STB)だとしており、感染した国・地域では39%の中国(香港・台湾含む)や39%の韓国が大半を占めており、日本でも若干の感染があるとしています。


2018年2月6日時点における感染国・地域(緑が濃いほうが感染数の多い場所)



感染数の推移

このADB.Minerと名付けられたボットネットは、Moneroをマイニングするだけではなく、ネットワークをスキャンして開発者向けの「Andrid Debug Bridge(ADB)」をネットワーク経由で利用する際に利用されるTCPポート(5555)が開いた他の機器を探し出し、新たにボットネットに感染させようと試みるようになっています。

そのため、指数関数的に急激に感染数が伸び、同社では実際に2月3日12時(JST)から2月4日12時(JST)までの24時間にTCPポートの5555への攻撃回数が急激に伸びたデータを示し、この24時間の間にTCPポートの5555に対して攻撃したホスト数は約5000台に増加していると報告しています。

なお、ADB.Minerに感染すると「Moneroをマイニングするようになる」と説明しましたが、今も感染してしまった機器では勝手にMoneroがマイニングされ続けていることが観測されており、攻撃者は「Monero Hash Vault」というマイニングプールを利用してウォレット「44XT4KvmobTQfeWa6PCQF5RDosr2MLWm43AsaE3o5iNRXXTfDbYk2VPHTVedTQHZyfXNzMn8YYF2466d3FSDT7gJS8gdHAr」へマイニングしたMoneroを送金するように設定していることが判明しています。

Moneroは他の暗号通貨と比べても匿名性が高いことから悪事に度々利用されているのですが、マイニングプールのステータスページを利用することで今そのウォレットに対してどれくらいのMoneroが送金されたのかを簡単に確認することができるようになっています。


筆者が2018年2月6日23時時点で確認したところではすで該当ウォレットには約0.03XMR(約581円)がマイニングされており、今も毎秒5.67KH(だいたいGTX 1070 7枚分と同程度)ほどのハッシュレートでマイニングされています。

読者の中にはたった581円しか稼げないのかと感じる方もいるかも知れませんが、マイニングされる額が少ないから問題ないというわけにはいきませんし、最近ではWebサイトが改ざんされて、Moneroがマイニングされるといった話は良く耳にしますが、Android機器を狙って、かつ自己増殖機能が実装されているボットネットはこれまで耳にしなかっただけに、非常に衝撃的なニュースだと言えるでしょう。

今後は今回のボットネットと同様に、Android向けのボットネットやマルウェアに自己増殖機能が実装される恐れがあると考えると非常に怖いです。またもしADBをネットワーク経由で利用している場合は、極力オフにしてUSBケーブル経由でADBを利用するようにした方が良いかもしれません。

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading
・ADB.Miner: More Information

共有する

はてなブックマークに追加

関連記事

【アキバ物欲】パソコンの高速化からテレビ化まで!Vista対応周辺機器特集

2007年1月31日、マイクロソフトの新しいOS「Windows Vista」(以下、Vista)が発売された。同社が販売するコンシューマー向けのOSとしては、Windows XPの発売以来5年ぶりのOSとなるだけあり、パソコンユーザーの反響も大きく、パソコ…

【ケータイラボ】出先で利用するのはどれがオススメ? 最新の″カード型通信端末″をチェック

筆者は、出先で仕事をすることが多くあるので、ノートパソコンを持ち歩くことが多い。特に最近はモバイルタイプのノートパソコンが軽量化したことで、持ち運びに苦痛を感じなくなったから持ち歩くことが多くなった。また、無線LANに対応…

【世界のモバイル】1回線契約なのに複数の端末が利用できる!海外のマルチSIMカードサービスの恩恵

一人で複数の携帯電話を利用したり、ノートPC用にデータ通信カードを利用するなどの回線を複数契約して利用しているユーザーも多いだろう。利用する端末の数が増えれば回線契約も増えるのは当然のことだが、海外では一つの回線契約で複…

【カオス通信】「業務用カラオケ・勝手にアニソン満喫度調査」

カラオケ機種3種のアニソン比較をしてみました。評価ポイントは「映像」「音質」の2つ。流れる映像に本編アニメのものが使われている場合は、基本的に星1つプラス相当の評価を加えてます。音質は原曲をどれだけ再現しているかを基準…

【世界のモバイル】なぜ日本国内だけ利用制限?日本の定額データプランの謎

NTTドコモから待望のHSDPA回線を利用したパソコン向けパケット定額サービスが開始された。海外ではすでに多くの通信キャリアが"モバイルブロードバンドサービス"として提供しており、日本もようやく海外と同じサービスが提供されたこと…