감염 시작은 지난 1월 31일부터 시작되었었으며 현재 웜과 유사한 감염이 트렌드마이크로 시스템에 의해 발견된 것은 2월 3일 15시부터 발견되었다.
감염된 포트는 5555, 안드로이드 기기에서 ADB디버깅 인터페이스의 작업 포트이며, 이 포트는 일반적으로 닫혀 있어야 한다.
악성코드는 감염 후 5555 ADB 디버그 인터페이스를 오픈하며 이는 웜과 유사성을 띈다.
감염 대상은 대부분 안드로이드 기반 스마트폰으로 추정되며 감염된 장비는 중국이 40%, 한국이 30%를 차지하고 있는 것으로 조사됐다.
또한 이 악성코드는 미라이(mirai)의 스캐닝 코드 일부를 사용하고 있으며, 처음으로 안드로이드 봇(Bot)에 의해 사용되는 미라이(mirai) 코드다. 이는 안드로이드 시스템의 ADB디버그 인터페이스를 목표로 하는 새롭게 활동하는 웜이며 24시간 만에 5천대 이상의 장치를 감염시켰다.
포트 5555의 스캔 트래픽은 2018년 2월 3일 15시경에 시작되어 일일 평균 수치의 3배에 달하며 24시경에 10배 정도 증가한 것으로 나타났다. 스캐닝을 시작한 IP의 수와 전체 스캐닝 트래픽은 현재까지 계속 증가하고 있다.
현재 5555 포트 스캔 트래픽은 구글 스캔몬 시스템의 모든 포트 중 상위 10개까지 올라갔다. 새로운 포트가 갑자기 상위 10개 리스트로 진입한 것은 2016년 9월 미라이(Mirai) 봇넷이 마지막이다.
감염된 장치는 대부분 ADB 디버깅 인터페이스가 있는 안드로이드 스마트폰 또는 TV 박스로 밝혀졌으며, 감염된 기기들은 악성코드 확산을 적극적으로 시도하고 있다. 확산 소스를 분석함으로써 대부분 스마트폰과 안드로이드 기반의 스마트TV인 것으로 확인됐다. 감염된 기기는 XMR(가상화폐 모네로) 코인들을 채굴하기 위해 사용된다.
★정보보안 대표 미디어 데일리시큐!★
