Hai nhóm botnet đang chiến đấu để kiểm soát càng nhiều thiết bị Android không an toàn càng tốt, khi chúng có thể sử dụng tài nguyên và tiền điện tử của chủ sở hữu ngay sau lưng họ.
Cuộc chiến giữa hai botnet - một có tên gọi là Fbot và một botnet khác có tên Trinity đã diễn ra ít nhất một tháng, nếu chúng ta kết hợp các manh mối khác nhau từ các báo cáo được công bố bởi các hãng bảo mật mạng khác nhau.
Cả hai đều đang cạnh tranh trực tiếp và đang theo đuổi các mục tiêu tương tự, cụ thể là các thiết bị Android mà nhà cung cấp hoặc chủ sở hữu có cổng chuẩn đoán đã bị phơi nhiễm trực tuyến.
Cổng này là cổng 5555 và nó có một tính năng Android tiêu chuẩn gọi là Android Debug Bridge (ADB). Tất cả các thiết bị Android đều hỗ trợ tính năng này nhưng hầu hết đều bị vô hiệu hóa.
Nhưng trong khi ADB bị vô hiệu hóa trên hàng trăm triệu thiết bị, có hàng chục nghìn thiết bị nơi tính năng này đã được bật, có thể do vô tình trong quá trình lắp ráp và thử nghiệm của thiết bị hoặc bởi người dùng sau khi họ sử dụng ADB để gỡ lỗi hoặc tùy chỉnh điện thoại của mình.
Thông tin sau có thể làm cho vấn đề trở nên tồi tệ hơn: trong cấu hình mặc định của nó, giao diện ADB cũng không sử dụng mật khẩu. Khi cổng ADB được kích hoạt và thiết bị được kết nối với internet, tính năng của ADB hoạt động như một backdoor mở rộng vĩnh viễn và khiến các thiết bị dễ bị tấn công.
Theo một nghiên cứu của Shodan, số lượng thiết bị Android có cổng ADB tiếp xúc trực tuyến thường thay đổi từ 30.000 đến 35.000 thiết bị trong một ngày.
Bọn tội phạm mạng cũng đã nhận thấy những thiết bị này. Trở lại vào tháng Hai năm nay, một botnet được xây dựng trên một chủng phần mềm độc hại được gọi là ADB.Miner đã lây nhiễm gần 7.500 thiết bị, hầu hết trong số họ là TV thông minh dựa trên Android và các hộp đầu thu TV.
Các ADB.Miner khai thác tiền điện tử, và cuối cùng, có thể tạo được lợi nhuận lớn. Tuy nhiên, biến thể của phần mềm độc hại này đã phát triển theo thời gian và sau đó biến thành một botnet mới tên là Trinity - còn được gọi là com.ufo.miner.
Các botnet đã được tìm thấy bởi Qihoo 360 Netlab vào tháng Chín và vẫn còn hoạt động mạnh mẽ trong tháng Mười khi các nhà nghiên cứu Ixia cũng phát hiện ra nó.
Cũng giống như hóa thân ADB.Miner trước đây của mình, botnet Trinity tiếp tục dựa vào sự phơi nhiễm của ADB để truy cập thiết bị, phát tán phần mềm độc hại mã hóa của nó, và sau đó sử dụng thiết bị bị lây nhiễm để lây lan cho nạn nhân mới.
Tuy nhiên, sự thành công của ADB.Miner và Trinity cũng đã kích thích những ứng cử viên mới nhập cuộc. Cũng bắt đầu từ tháng 9, một botnet khác cũng đã quét các thiết bị có cổng ADB bị phơi nhiễm trực tuyến. Botnet thứ hai này, có tên Fbot, chưa được nhìn thấy khai thác tiền điện tử.
Fbot, mà các nhà nghiên cứu nói rằng có cùng mã với phần mềm độc hại Satori IoT DDoS, chỉ tập trung vào việc lan rộng đến nhiều thiết bị nhất có thể và xóa vĩnh viễn Trinity khỏi các thiết bị bị nhiễm. Bạn thấy đấy, Fbot chứa mã đặc biệt để tìm kiếm cụ thể tên tệp của Trinity (com.ufo.miner) và loại bỏ nó.
Mặc dù mục đích của nó vẫn là một bí ẩn và có thể mất một thời gian trước khi Fbot trở nên lớn mạnh như Trinty, rõ ràng là các chủ sở hữu thiết bị Android cần lưu ý xu hướng phần mềm độc hại này và đảm bảo thiết bị của họ không hiển thị cổng ADB trực tuyến.
Hướng dẫn này sẽ giúp chủ sở hữu thiết bị vô hiệu hóa dịch vụ ADB - còn được gọi là "Gỡ lỗi USB" trong nhiều menu cài đặt của thiết bị Android.
Hồi tháng 6, Kevin Beaumont đã đề xuất rằng các công ty viễn thông di động có thể làm mọi người hưởng lợi bằng cách chặn lưu lượng truy cập vào mạng của họ nhắm vào cổng 5555, điều này sẽ khiến cho các cổng ADB mở vô dụng, ngăn chặn bất kỳ nỗ lực khai thác nào.