V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jamin603
V2EX  ›  分享发现

pdd 给家里买的魔百盒刷机的盒子发现挖矿软件

  •  
  •   jamin603 · 2023-06-01 16:29:31 +08:00 · 2418 次点击
    这是一个创建于 567 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前段时间看有人推荐拼多多的魔百盒刷的电视盒子就去买了,确实便宜,完全符合家里人需求了。但是发现了挖矿软件包名叫 com.ufo.miner (大家看看自己的有没有),搜了一下是挖矿软件,不知道是卖家预埋的还是折腾过程中安装到的。 怀疑有问题起因是当天晚上家里人反应看视频特别卡,还有就是开机会跳出来个有 test 字样的 app 。然后就想先看下这个 test 到底是啥。就 adb shell dumpsys window|grep test 看了一下
    https://i.imgur.com/oBx7WtC.png
    就看到了这个
    我是远程 adb 帮家里人折腾,安装了一些 app 之类的,但是过程中有一段时间可能不慎将 adb 5555 端口映射至公网,可能被别人扫到了(不知道公网扫 5555 的人多不多)。
    分析有三种可能:
    1.就是卖家预装的
    2.5555 端口被扫了
    3.安装其他 app 带进来的
    不确定到底怎么安装进来的,大家如果也买了也可以检查一下

    8 条回复    2023-06-02 11:26:07 +08:00
    gam2046
        1
    gam2046  
       2023-06-01 16:48:32 +08:00
    唔,大佬可以 adb pull 把这个 com.ufo.miner 取出来,上传分享一下,让我分析一下看嘛
    jamin603
        2
    jamin603  
    OP
       2023-06-01 16:55:39 +08:00
    @gam2046 #1 😹我后来也在想拿下来分析一下,但是看到这个第一反应直接给卸载了,哎
    deorth
        3
    deorth  
       2023-06-01 18:23:48 +08:00 via Android
    大概率 5555 的锅,我也中过一次,后来 5555 就只在用的时候才开了。不知道为什么盒子固件 adb 都是无需确认的
    lingaoyi
        4
    lingaoyi  
       2023-06-01 19:52:29 +08:00 via iPhone
    喷了
    yukiww233
        5
    yukiww233  
       2023-06-01 19:55:44 +08:00
    https://news.sophos.com/en-us/2019/02/26/automated-android-attacks-deliver-ufo-cryptominer-trojan/

    看这个几年前的报道是扫 5555 端口的,这种没啥验证的服务还是别放到公网了
    Paulownia
        6
    Paulownia  
       2023-06-01 23:06:01 +08:00
    去年遇到过一个安卓视频设备,公网,默认开放 5555 ,直接 adb shell 上去好像就是 root ?记不太清了。很多都被安装了你提到的这个挖矿软件,所以大概率猜测是映射 5555 的问题。根据我之前搭建蜜罐的经验,很多僵尸网络都会自动探测和攻击 5555 端口。比如 ssh 弱口令这种,在互联网上暴露不到 20 分钟就会有僵尸网络登录成功的记录。
    Tamamopoi
        7
    Tamamopoi  
       2023-06-02 10:27:39 +08:00
    啊? adb shell 不是要设备同意调试请求吗...?我个人就是把旧手机 5555 映射出来当云手机用,目前存活两个月暂无异常。
    gam2046
        8
    gam2046  
       2023-06-02 11:26:07 +08:00
    @jamin603 #2 我自己去试了下,似乎并没有我想的高科技,挺没意思的,简单交叉编译一下,确实 Android 上也能跑起来。效率的话,聊胜于无吧,在攻击者自己不承担设备与电费的情况下,怎么都是赚。

    https://imgur.com/a/3MwamHl
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2831 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 14:49 · PVG 22:49 · LAX 06:49 · JFK 09:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.