前段时间看有人推荐拼多多的魔百盒刷的电视盒子就去买了,确实便宜,完全符合家里人需求了。但是发现了挖矿软件包名叫 com.ufo.miner (大家看看自己的有没有),搜了一下是挖矿软件,不知道是卖家预埋的还是折腾过程中安装到的。
怀疑有问题起因是当天晚上家里人反应看视频特别卡,还有就是开机会跳出来个有 test 字样的 app 。然后就想先看下这个 test 到底是啥。就 adb shell dumpsys window|grep test 看了一下
https://i.imgur.com/oBx7WtC.png
就看到了这个
我是远程 adb 帮家里人折腾,安装了一些 app 之类的,但是过程中有一段时间可能不慎将 adb 5555 端口映射至公网,可能被别人扫到了(不知道公网扫 5555 的人多不多)。
分析有三种可能:
1.就是卖家预装的
2.5555 端口被扫了
3.安装其他 app 带进来的
不确定到底怎么安装进来的,大家如果也买了也可以检查一下
1
gam2046 2023-06-01 16:48:32 +08:00
唔,大佬可以 adb pull 把这个 com.ufo.miner 取出来,上传分享一下,让我分析一下看嘛
|
3
deorth 2023-06-01 18:23:48 +08:00 via Android
大概率 5555 的锅,我也中过一次,后来 5555 就只在用的时候才开了。不知道为什么盒子固件 adb 都是无需确认的
|
4
lingaoyi 2023-06-01 19:52:29 +08:00 via iPhone
喷了
|
5
yukiww233 2023-06-01 19:55:44 +08:00
https://news.sophos.com/en-us/2019/02/26/automated-android-attacks-deliver-ufo-cryptominer-trojan/
看这个几年前的报道是扫 5555 端口的,这种没啥验证的服务还是别放到公网了 |
6
Paulownia 2023-06-01 23:06:01 +08:00
去年遇到过一个安卓视频设备,公网,默认开放 5555 ,直接 adb shell 上去好像就是 root ?记不太清了。很多都被安装了你提到的这个挖矿软件,所以大概率猜测是映射 5555 的问题。根据我之前搭建蜜罐的经验,很多僵尸网络都会自动探测和攻击 5555 端口。比如 ssh 弱口令这种,在互联网上暴露不到 20 分钟就会有僵尸网络登录成功的记录。
|
7
Tamamopoi 2023-06-02 10:27:39 +08:00
啊? adb shell 不是要设备同意调试请求吗...?我个人就是把旧手机 5555 映射出来当云手机用,目前存活两个月暂无异常。
|
8
gam2046 2023-06-02 11:26:07 +08:00
@jamin603 #2 我自己去试了下,似乎并没有我想的高科技,挺没意思的,简单交叉编译一下,确实 Android 上也能跑起来。效率的话,聊胜于无吧,在攻击者自己不承担设备与电费的情况下,怎么都是赚。
https://imgur.com/a/3MwamHl |