Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Центр кибербезопасности ФГУП «ЗащитаИнфоTранс» сообщает

Эксперты в области информационной безопасности сообщают о новой компьютерной атаке, в ходе которой злоумышленники атакуют Android-устройства с открытым портом 5555.

Предположительно, хакеры пытаются создать из них ботнет (компьютерная сеть из устройств, зараженных вредоносной программой).

TCP-порт 5555 предназначен для управления устройствами через Android Debug Bridge (ADB) - функцию Android SDK, позволяющую разработчикам легко работать с устройствами, запускать на них команды или полностью их контролировать.

Порт ADB должен быть отключен на большинстве устройств, а для его активации необходимо подключение через USB. Однако, по словам экспертов, многие устройства поставляются с включенным ADB, делая их уязвимыми к атакам.

Ранее эксперты уже фиксировали атаки на порт ADB в январе текущего года. В ходе кампании злоумышленники использовали модифицированную версию вредоносного ПО Mirai. Вредонос осуществлял поиск устройств с открытым портом 5555 для создания ботнета, позволяющего майнить криптовалюту.

Летом текущего года был обнаружен новый эксплоит, который также нацелен на порт 5555. Эксперты зафиксировали резкий рост активности 9-10 июля, а вторая - 15 июля. Атаки велись преимущественно из США, Китая и Кореи.

После заражения устройств вредоносное ПО завершает ряд процессов и запускает свои собственные, один из которых отвечает за дальнейшее распространение программы и соединение с управляющим сервером.

В ходе проведенного анализа эксперты выявили более 48 тыс. IoT-устройств уязвимых для эксплуатации через порт 5555. Однако не все из них могут быть скомпрометированы, так как некоторые гаджеты подключены через маршрутизаторы, использующие механизм преобразования сетевых адресов (Network Address Translation, NAT).

Аналитики центра кибербезопасности ФГУП «ЗащитаИнфоTранс» предупреждают, что все мультимедийные устройства, смарт-телевизоры, мобильные телефоны и другие гаджеты без дополнительной защиты – находятся под угрозой, независимо от сложности пароля пользователя.

Если вы пострадали от этой вредоносной программы, советуем сбросить устройства к заводским настройкам и установить антивирусное программное обеспечение.