{"id":205299,"date":"2018-06-10T09:43:11","date_gmt":"2018-06-10T07:43:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=205299"},"modified":"2023-02-20T08:14:13","modified_gmt":"2023-02-20T07:14:13","slug":"android-wurm-fr-remote-adb-entdeckt-verteilt-crypto-miner","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/10\/android-wurm-fr-remote-adb-entdeckt-verteilt-crypto-miner\/","title":{"rendered":"Android Wurm f&uuml;r Remote-ADB entdeckt, verteilt Crypto-Miner"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>Noch eine kleine Meldung f\u00fcr Android-Entwickler oder Power-Nutzer. Es scheint, als ob es einen Wurm gibt, der per Internet die Android Debug Bridge auf bestimmten Android-Ger\u00e4ten verwenden kann, um Remote Code zu installieren. Es soll auf Ger\u00e4ten in Asien ein Crypto-Miner \u00fcber diesen Wurm verbreitet werden. Zumindest sollte man das im Auge behalten. <strong>Erg\u00e4nzung:<\/strong> Inzwischen sind Einzelheiten bekannt, die ich nachgetragen habe. Es betrifft wohl nur Ger\u00e4te, die als 'wei\u00dfe Ware' durch schludrige Produktionsprozesse in Endkundenhand geliefert wurden. Betroffen scheinen aber vom US-Tanker \u00fcber Digital Video Recorder (DVR) bis hin zu Smart TVs und Smartphones.<\/p>\n<p><!--more--><\/p>\n<h2>Eine kurze Information \u00fcber Twitter<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/06c34eccd03f4937b2ae78dc13dae2af\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber Twitter auf das Thema aufmerksam geworden. Kevin Beaumont (@GossiTheDog) hat nur folgenden Hinweis gepostet.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Had 10 minutes at work to look at Netflow and realised I've strumbled into an Android worm. They're using port 5555 (Android Debug Bridge) to remotely execute code (like this <a href=\"https:\/\/t.co\/2cki0Vps7y\">https:\/\/t.co\/2cki0Vps7y<\/a> ) on devices in Asia, and then spread onwards. Cryptominer.<\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) 8. Juni 2018<\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bei einem kurzen Blick auf den Netzwerktraffic ist ihm vermutlich ein Android-Wurm aufgefallen. Dieser verwendet, mittels einer Remote-ADB-Library, den Port 5555 der Android Debug Bridge (ADB), um auf die Ger\u00e4te zuzugreifen. In Asien wird \u00fcber diesen Ansatz ein Crypto-Miner verteilt. Das betrifft aber wohl nur Ger\u00e4te, auf denen die Remote Adb Execution Library installiert ist, wenn ich den <a href=\"https:\/\/github.com\/lesavsoftware\/rem-adb-exec\" target=\"_blank\" rel=\"noopener\">GitHub-Artikel<\/a> richtig verstehe.<\/p>\n<h2>Normalerweise sollte das nicht funktionieren<\/h2>\n<p>Es gibt unter Android die M\u00f6glichkeit, per ADB auf das Ger\u00e4t zuzugreifen. \u00dcblicherweise per USB, aber es gibt auch die Option f\u00fcr WiFi-Debugging. Das ist aber nur nach expliziter Nutzerfreigabe m\u00f6glich. Ich habe mich vor einigen Jahren mehr mit Android x86 befasst und diesen Ansatz verwendet. Mit der Android Debug Bridge kann man WiFi-Debugging \u00fcber folgende Befehle aktivieren.<\/p>\n<p><code>adb tcpip 5555<br \/>\n<\/code><code>adb connect &lt;ip-adresse&gt;:5555<\/code><\/p>\n<p>F\u00fcr den ersten Befehl muss das Ger\u00e4t aber per USB mit dem Rechner auf den ADB l\u00e4uft, verbunden sein. Hier die betreffenden Befehle in einer Eingabeaufforderung unter Windows 7.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/GNUbowj.jpg\" alt=\"\" \/><\/p>\n<p>Das l\u00e4sst sich aber nicht 'irgendwie aus heiterem Himmel' nutzen. Auf den g\u00e4ngigen Android-Ger\u00e4ten muss der Benutzer USB-Debugging\u00a0 auf dem Ger\u00e4t \u00fcber die Entwickleroptionen freigegebenen. Neuere Android-Versionen verlangen sogar, dass der Remote-Zugriff \u00fcber ADB in einem weiteren Schritt explizit am Ger\u00e4t freigegeben wird. Nachfolgender Screenshot zeigt diese Nachfrage am Nexus 4 (siehe auch <a href=\"https:\/\/borncity.com\/blog\/2013\/11\/15\/aufgenordet-mein-nexus-4-bekommt-das-kitkat-upgrade\/\" target=\"_blank\" rel=\"noopener\">diesen Blog-Beitrag<\/a>).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"USB-Debugging freigeben\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/11\/ADB02_thumb.jpg\" alt=\"USB-Debugging freigeben\" width=\"335\" height=\"556\" border=\"0\" \/><\/p>\n<p>Ich habe es gestern noch getestet, funktioniert auch mit aktuellen Android-Ger\u00e4ten, wenn man die aktuellen Android SDK-Tools und die Hinweise im nachfolgend genannten Blog-Beitrag nutzt. Wen die Geschichte interessiert, sei auf den Beitrag <a href=\"https:\/\/borncity.com\/blog\/2012\/07\/08\/know-how-android-wifi-debugging\/\" target=\"_blank\" rel=\"noopener\">Know How: Android WiFi-Debugging<\/a> aus 2012 sowie die verlinkten restlichen Blog-Beitr\u00e4ge verwiesen.<\/p>\n<p>Aber ein Remote-ADB-Debugging per Internet, ohne dass der Benutzer das unterbinden k\u00f6nnte, ist imho so nicht m\u00f6glich. Ich gehe daher davon aus, dass in der Firmware diverser Android-Ger\u00e4te die Remote-ADB-Bibliothek zus\u00e4tzlich hinzugef\u00fcgt wurde. Speziell China-Ware aus wei\u00dfen Quellen k\u00f6nnte solche Remote-ADB-Libraries beinhalten (sicher bin ich aber nicht, denn so tief stecke ich in der ROM-Entwicklung f\u00fcr Android nicht drin). Wer in diesem Bereich aktiv ist, sollte das Thema auf jeden Fall im Auge behalten.<\/p>\n<h2>Erg\u00e4nzung: Betrifft nur einige Ger\u00e4te<\/h2>\n<p>Meine Vermutung war richtig. Bei Bleeping Computer hat man sich des Themas angenommen und vor wenigen Minuten<a href=\"https:\/\/web.archive.org\/web\/20220307052044\/https:\/\/www.bleepingcomputer.com\/news\/security\/tens-of-thousands-of-android-devices-are-exposing-their-debug-port\/\" target=\"_blank\" rel=\"noopener\"> diesen Beitrag<\/a> ver\u00f6ffentlicht. Hintergrund ist wohl, dass einige OEMs den ADB-Debug-Zugang, der eigentlich nur zum Testen w\u00e4hrend der Entwicklung oder im Werk benutzt wird, in Endnutzer-Ger\u00e4ten in aktivierter Form mit ausgeliefert haben. Das Thema war bereits zum Jahresanfang ein Thema (siehe meinen Blog-Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2018\/02\/12\/leaks-hacks-und-sicherheit-13-2-2018\/\" rel=\"bookmark\">Leaks, Hacks, Betrug und Sicherheit (12.2.2018)<\/a>), als\u00a0Sicherheitsforscher des chinesischen IT-Sicherheitsunternehmens Qihoo 360 Netlab eine neue wurmartige Android-Malware, ADB.Miner genannt,\u00a0entdeckten.\u00a0Die Malware scannt \u00fcber ADB (Android Debug Bridge) eine Vielzahl von IP-Adressen, um gef\u00e4hrdete Ger\u00e4te zu finden.<\/p>\n<p>Inzwischen hat Kevin Beaumont auch einen Blog-Beitrag mit Details (in Englisch) <a href=\"https:\/\/doublepulsar.com\/root-bridge-how-thousands-of-internet-connected-android-devices-now-have-no-security-and-are-b46a68cb0f20\" target=\"_blank\" rel=\"noopener\">bei Medium ver\u00f6ffentlicht<\/a>\u00a0(war noch nicht verf\u00fcgbar, als ich auf den obigen, initialen Tweet stie\u00df). Es betrifft zwar nur einige Zehntausend Android-Ger\u00e4te, aber es gibt ja nicht nur die typischen Smartphones. Beaumont schreibt, dass er auf Beispiele, angefangen vom US-Tanker \u00fcber DVRs (Digitale Videorecorder) in Hong Kong bis zu Mobilger\u00e4ten in S\u00fcdkorea oder Smart TVs auf Android-Basis f\u00fcndig wurde. Ein gefundenes Fressen f\u00fcr Cyber-Kriminelle, die Crypto-Miner verteilen m\u00f6chten.<\/p>\n<p>Beaumont schreibt, dass das hochproblematisch sei, da der Remote ADB-Zugang als Root erfolgt &#8211; bei einem normalen ADB-Zugang per USB oder WiFi ist dies zum Beispiel nicht m\u00f6glich. Bei Interesse lest ihr einfach die Hinweise im Medium Beitrag durch. Ansonsten gilt meine, zum Wochenende im vorherigen Abschnitt ge\u00e4u\u00dferte\u00a0Einsch\u00e4tzung nach wie vor.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch eine kleine Meldung f\u00fcr Android-Entwickler oder Power-Nutzer. Es scheint, als ob es einen Wurm gibt, der per Internet die Android Debug Bridge auf bestimmten Android-Ger\u00e4ten verwenden kann, um Remote Code zu installieren. Es soll auf Ger\u00e4ten in Asien ein &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/06\/10\/android-wurm-fr-remote-adb-entdeckt-verteilt-crypto-miner\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[1713,4308,4328],"class_list":["post-205299","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-adb","tag-android","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205299","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=205299"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205299\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=205299"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=205299"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=205299"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}