Noch eine kleine Meldung für Android-Entwickler oder Power-Nutzer. Es scheint, als ob es einen Wurm gibt, der per Internet die Android Debug Bridge auf bestimmten Android-Geräten verwenden kann, um Remote Code zu installieren. Es soll auf Geräten in Asien ein Crypto-Miner über diesen Wurm verbreitet werden. Zumindest sollte man das im Auge behalten. Ergänzung: Inzwischen sind Einzelheiten bekannt, die ich nachgetragen habe. Es betrifft wohl nur Geräte, die als 'weiße Ware' durch schludrige Produktionsprozesse in Endkundenhand geliefert wurden. Betroffen scheinen aber vom US-Tanker über Digital Video Recorder (DVR) bis hin zu Smart TVs und Smartphones.
Anzeige
Eine kurze Information über Twitter
Ich bin über Twitter auf das Thema aufmerksam geworden. Kevin Beaumont (@GossiTheDog) hat nur folgenden Hinweis gepostet.
Had 10 minutes at work to look at Netflow and realised I've strumbled into an Android worm. They're using port 5555 (Android Debug Bridge) to remotely execute code (like this https://t.co/2cki0Vps7y ) on devices in Asia, and then spread onwards. Cryptominer.
— Kevin Beaumont (@GossiTheDog) 8. Juni 2018
Bei einem kurzen Blick auf den Netzwerktraffic ist ihm vermutlich ein Android-Wurm aufgefallen. Dieser verwendet, mittels einer Remote-ADB-Library, den Port 5555 der Android Debug Bridge (ADB), um auf die Geräte zuzugreifen. In Asien wird über diesen Ansatz ein Crypto-Miner verteilt. Das betrifft aber wohl nur Geräte, auf denen die Remote Adb Execution Library installiert ist, wenn ich den GitHub-Artikel richtig verstehe.
Normalerweise sollte das nicht funktionieren
Es gibt unter Android die Möglichkeit, per ADB auf das Gerät zuzugreifen. Üblicherweise per USB, aber es gibt auch die Option für WiFi-Debugging. Das ist aber nur nach expliziter Nutzerfreigabe möglich. Ich habe mich vor einigen Jahren mehr mit Android x86 befasst und diesen Ansatz verwendet. Mit der Android Debug Bridge kann man WiFi-Debugging über folgende Befehle aktivieren.
Anzeige
adb tcpip 5555
adb connect <ip-adresse>:5555
Für den ersten Befehl muss das Gerät aber per USB mit dem Rechner auf den ADB läuft, verbunden sein. Hier die betreffenden Befehle in einer Eingabeaufforderung unter Windows 7.
Das lässt sich aber nicht 'irgendwie aus heiterem Himmel' nutzen. Auf den gängigen Android-Geräten muss der Benutzer USB-Debugging auf dem Gerät über die Entwickleroptionen freigegebenen. Neuere Android-Versionen verlangen sogar, dass der Remote-Zugriff über ADB in einem weiteren Schritt explizit am Gerät freigegeben wird. Nachfolgender Screenshot zeigt diese Nachfrage am Nexus 4 (siehe auch diesen Blog-Beitrag).
Ich habe es gestern noch getestet, funktioniert auch mit aktuellen Android-Geräten, wenn man die aktuellen Android SDK-Tools und die Hinweise im nachfolgend genannten Blog-Beitrag nutzt. Wen die Geschichte interessiert, sei auf den Beitrag Know How: Android WiFi-Debugging aus 2012 sowie die verlinkten restlichen Blog-Beiträge verwiesen.
Aber ein Remote-ADB-Debugging per Internet, ohne dass der Benutzer das unterbinden könnte, ist imho so nicht möglich. Ich gehe daher davon aus, dass in der Firmware diverser Android-Geräte die Remote-ADB-Bibliothek zusätzlich hinzugefügt wurde. Speziell China-Ware aus weißen Quellen könnte solche Remote-ADB-Libraries beinhalten (sicher bin ich aber nicht, denn so tief stecke ich in der ROM-Entwicklung für Android nicht drin). Wer in diesem Bereich aktiv ist, sollte das Thema auf jeden Fall im Auge behalten.
Ergänzung: Betrifft nur einige Geräte
Meine Vermutung war richtig. Bei Bleeping Computer hat man sich des Themas angenommen und vor wenigen Minuten diesen Beitrag veröffentlicht. Hintergrund ist wohl, dass einige OEMs den ADB-Debug-Zugang, der eigentlich nur zum Testen während der Entwicklung oder im Werk benutzt wird, in Endnutzer-Geräten in aktivierter Form mit ausgeliefert haben. Das Thema war bereits zum Jahresanfang ein Thema (siehe meinen Blog-Beitrag Leaks, Hacks, Betrug und Sicherheit (12.2.2018)), als Sicherheitsforscher des chinesischen IT-Sicherheitsunternehmens Qihoo 360 Netlab eine neue wurmartige Android-Malware, ADB.Miner genannt, entdeckten. Die Malware scannt über ADB (Android Debug Bridge) eine Vielzahl von IP-Adressen, um gefährdete Geräte zu finden.
Inzwischen hat Kevin Beaumont auch einen Blog-Beitrag mit Details (in Englisch) bei Medium veröffentlicht (war noch nicht verfügbar, als ich auf den obigen, initialen Tweet stieß). Es betrifft zwar nur einige Zehntausend Android-Geräte, aber es gibt ja nicht nur die typischen Smartphones. Beaumont schreibt, dass er auf Beispiele, angefangen vom US-Tanker über DVRs (Digitale Videorecorder) in Hong Kong bis zu Mobilgeräten in Südkorea oder Smart TVs auf Android-Basis fündig wurde. Ein gefundenes Fressen für Cyber-Kriminelle, die Crypto-Miner verteilen möchten.
Beaumont schreibt, dass das hochproblematisch sei, da der Remote ADB-Zugang als Root erfolgt – bei einem normalen ADB-Zugang per USB oder WiFi ist dies zum Beispiel nicht möglich. Bei Interesse lest ihr einfach die Hinweise im Medium Beitrag durch. Ansonsten gilt meine, zum Wochenende im vorherigen Abschnitt geäußerte Einschätzung nach wie vor.
Anzeige