pdd 给家里买的魔百盒刷机的盒子发现挖矿软件

2023-06-01 16:29:31 +08:00
 jamin603

前段时间看有人推荐拼多多的魔百盒刷的电视盒子就去买了,确实便宜,完全符合家里人需求了。但是发现了挖矿软件包名叫 com.ufo.miner (大家看看自己的有没有),搜了一下是挖矿软件,不知道是卖家预埋的还是折腾过程中安装到的。 怀疑有问题起因是当天晚上家里人反应看视频特别卡,还有就是开机会跳出来个有 test 字样的 app 。然后就想先看下这个 test 到底是啥。就 adb shell dumpsys window|grep test 看了一下
https://i.imgur.com/oBx7WtC.png
就看到了这个
我是远程 adb 帮家里人折腾,安装了一些 app 之类的,但是过程中有一段时间可能不慎将 adb 5555 端口映射至公网,可能被别人扫到了(不知道公网扫 5555 的人多不多)。
分析有三种可能:
1.就是卖家预装的
2.5555 端口被扫了
3.安装其他 app 带进来的
不确定到底怎么安装进来的,大家如果也买了也可以检查一下

2319 次点击
所在节点    分享发现
8 条回复
gam2046
2023-06-01 16:48:32 +08:00
唔,大佬可以 adb pull 把这个 com.ufo.miner 取出来,上传分享一下,让我分析一下看嘛
jamin603
2023-06-01 16:55:39 +08:00
@gam2046 #1 😹我后来也在想拿下来分析一下,但是看到这个第一反应直接给卸载了,哎
deorth
2023-06-01 18:23:48 +08:00
大概率 5555 的锅,我也中过一次,后来 5555 就只在用的时候才开了。不知道为什么盒子固件 adb 都是无需确认的
lingaoyi
2023-06-01 19:52:29 +08:00
喷了
yukiww233
2023-06-01 19:55:44 +08:00
https://news.sophos.com/en-us/2019/02/26/automated-android-attacks-deliver-ufo-cryptominer-trojan/

看这个几年前的报道是扫 5555 端口的,这种没啥验证的服务还是别放到公网了
Paulownia
2023-06-01 23:06:01 +08:00
去年遇到过一个安卓视频设备,公网,默认开放 5555 ,直接 adb shell 上去好像就是 root ?记不太清了。很多都被安装了你提到的这个挖矿软件,所以大概率猜测是映射 5555 的问题。根据我之前搭建蜜罐的经验,很多僵尸网络都会自动探测和攻击 5555 端口。比如 ssh 弱口令这种,在互联网上暴露不到 20 分钟就会有僵尸网络登录成功的记录。
Tamamopoi
2023-06-02 10:27:39 +08:00
啊? adb shell 不是要设备同意调试请求吗...?我个人就是把旧手机 5555 映射出来当云手机用,目前存活两个月暂无异常。
gam2046
2023-06-02 11:26:07 +08:00
@jamin603 #2 我自己去试了下,似乎并没有我想的高科技,挺没意思的,简单交叉编译一下,确实 Android 上也能跑起来。效率的话,聊胜于无吧,在攻击者自己不承担设备与电费的情况下,怎么都是赚。

https://imgur.com/a/3MwamHl

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/944948

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX