Veszélyes nyitott porttal érkeznek a kínai mobilok

2018.06.26. 16:27

Kisebb ázsiai gyártók mobiljaival előfordul, hogy bekapcsolva hagyott fejlesztői beállítással érkeznek meg a vevőkhöz,  ami ajtót nyit az első androidos féreg előtt, és később gondot okozhat a felhasználónak – erre figyelmeztettek kedden a G DATA szakértői. A kiberbiztonsági cég azt nem árulta el, hogy mely gyártók és mely modellek érintettek, csupán arra figyelmeztette a mobilozókat, hogy a fejlesztői beállítások alatt megtalálható USB hibakeresés (debugging) funkciót lehetőleg tartsák kikapcsolva.

Az USB hibakeresés bekapcsolt állapota azért veszélyes, mert ezt használja ki az első androidos féreg, az ADB.Miner. A kártevő úgy terjed, hogy az interneten nyitott portokat keres, és ha talál egyet, akkor megpróbál települni. A célba vett lehetséges áldozat mindebből annyit lát, hogy megjelenik egy USB hibakereséssel kapcsolatos kérdés a telefonján, és ha OK-t nyom, akkor azzal gyakorlatilag a féreg települését engedélyezte.

A fertőzött készülék ezután nemcsak a féreg további terjesztésében vesz részt, hanem egy kriptobányász botnethez is csatlakozik, és a telefon erőforrásait felhasználva XMR COIN nevű virtuális valutát kezd bányászni. Ez utóbbi tevékenység az, ami hosszabb távon káros lehet a telefon hardverére, de már rövid távon is a mobil érezhető lassulását okozza.

A G Data szakértői egy eltávolítási módszert is közzétettek, amihez számítógépre és némi odafigyelésre is szükség lesz:

  1. Töltsük le számítógépünkre az ADB for Windows alkalmazást. (.zip letöltés a Google oldaláról)
  2. Csomagoljuk ki a .zip fájl tartalmát egy könnyen megjegyezhető mappába.
  3. A fenti mappában Windows 10 operációs rendszeren nyomjuk le a Shift és jobb egér gombot, majd válasszuk ki a „PowerShell-ablak megnyitása itt” lehetőséget.
  4. Csatlakoztassuk androidos készülékünket USB kábellel a számítógéphez.
  5. Nyitott ADB interfész esetén egy ablak nyílik meg az okostelefonon.
  6. Nyomjuk meg az OK-t. Megjegyzés: ha nem nyílik meg ilyen ablak a telefonon, a fejlesztői lehetőség nem engedélyezett.
  7. A PowerShell ablakban írjuk be a következő parancssort:
    .\adb shell pm list packages com.android.good.miner
  8. Ha a készülékünk nem fertőzött, a fejlesztői konzolon nem jelenik meg válasz. Ha fertőzött, a következő üzenet jelenik meg: package: com.android.good.miner
  9. Távolítsuk el a férget az alábbi paranccsal:
    .\adb shell pm list packages uninstall com.android.good.miner
  10. Töröljük az ideiglenes fájlokat, nehogy magától újratelepüljön a féreg:
    .\adb shell
    cd /data/local/tmp/
    rm *
    exit