«Доктор Веб» повідомляє про те, що інформація про поширення троянця Android.CoinMine.15, відомого також під назвою ADB.miner, з'явилася кілька днів тому у блозі китайської компанії, яка працює у сфері інформаційної безпеки. За даними китайських дослідників, швидкість поширення троянця в активний період була дуже великою: щодня кількість інфікованих пристроїв зростала вдвічі.

Фахівці «Доктор Веб» вважають, що більшість заражених пристроїв – «розумні» телевізори, оскільки саме вони зазвичай мають постійне підключення до інтернету з використанням ADB.

Цей Android-троянець, призначений для видобутку криптовалюти Monero, здатний інфікувати інші пристрої без участі користувача. Шкідлива програма Android.CoinMine.15 заражає Android-пристрої з відкритим портом 5555, який використовується інтерфейсом налагоджувача Android Debug Bridge (ADB).

Інфікованими можуть виявитися не лише «розумні» телевізори, але також смартфони, планшети, телевізійні приставки, роутери, медіаплеєри та ресивери – тобто пристрої, які використовують налагодження мережі. Ще одним потенційно вразливим пристроєм є одноплатний комп'ютер Raspberry Pi 3 із встановленою ОС Android.

Поширення троянця відбувається так. З іншого зараженого пристрою на вузол, що атакується, встановлюється додаток droidbot.apk, а також файли з іменами nohup, sss і bot.dat. Потім файл sss запускається за допомогою утиліти nohup і в процесі роботи стає демоном.

Після цього він витягує з bot.dat інші компоненти троянця, у тому числі конфігураційний файл у форматі JSON, додатки-майнери (для 32- та 64-розрядної версії ОС) та екземпляр троянської програми droidbot. Після запуску droidbot у безперервному циклі випадково генерує IP-адресу і намагається підключитися до порту 5555.

У разі успіху троянець робить спробу заразити виявлений пристрій з використанням інтерфейсу відладчика ADB. В окремому потоці Android.CoinMine.15 запускає програму-майнер, призначену для видобутку криптовалюти Monero (XMR).

Зараження подібними шкідливими програмами може призвести до помітного зниження швидкодії пристрою, його нагрівання, а також швидкого витрачання ресурсу акумулятора.

В ОС Android відладчик ADB за замовчуванням відключений, проте деякі виробники все ж залишають його включеним. Крім того, ADB з будь-яких причин може бути включений самим користувачем - найчастіше режим налагодження необхідний розробникам програм.

Згідно Статистика, зібрана Dr.Web для Android, відладчик Android Debug Bridge включений на 8% пристроїв, захищених нашим антивірусом. Оскільки таке налаштування може становити потенційну загрозу, спеціальний компонент Dr.Web, «Аудитор безпеки», попереджає користувача про увімкнений відладчик і пропонує відключити його.

Фахівці компанії «Доктор Веб» рекомендують усім власникам Android-пристроїв виконати перевірку операційної системи щодо потенційно небезпечних налаштувань. Для цього на сайті компанії або в офіційному каталозі Google Play можна придбати Dr.Web Security Space для Android, до складу якого входить "Аудитор безпеки".

Якщо на пристрої ввімкнено, але не використовується налагодження USB, краще цю функцію вимкнути. Троянець-майнер Android.CoinMine.15 детектується та видаляється антивірусними програмами Dr.Web для Android.