安卓平台挖矿蠕虫ADB.Miner勃然而兴，中韩两国成为重灾区

2017年中期，永恒之蓝（WannaCry）勒索病毒的疯狂传播让人记忆犹新。数字货币的火爆和挖矿的热潮，吸引来不少黑客的觊觎，挖矿蠕虫于是随之兴起。除了计算机之外，现在智能手机、电视、路由器等都可以作为成为挖矿机。

近日，360监测到一个安卓平台挖矿蠕虫ADB.Miner。它最早的感染时间可回溯到1月31日左右，当前这波蠕虫式感染从2月3日下午15：00左右开始被360系统检测到。此前很少有安卓平台的挖矿蠕虫，因此该蠕虫具备一定的标杆意义。

据360给出的数据，现在该病毒日活感染量在增长到7千（02-05 15:00 GMT+8）后不再快速增长。这个数字已经保持稳定了超过48小时，可以认为蠕虫已经经过了爆发期，进入稳定期。中国（39%）和韩国（39%）是该该病毒祸害的重灾区。

以下是受感染设备的地图分布，颜色越深代表受感染设备越多。

据360网络安全研究院研究员李丰沛介绍，目前能够确认的被感染设备都是安卓设备，能够确认种类的都是电视盒子，大约占一半左右，其他设备不能确认是何种类。

该病毒从安卓设备上ADB调试接口的工作端口5555传染，恶意代码在完成植入后，会继续扫描5555 adb 端口，完成自身的传播。被感染后的核心功能就是利用窃取到的计算资源挖门罗币。目前，尚不清楚这些5555端口是怎么打开的，猜测很大程度上是消费者这一端打开的。

该蠕虫没有上联控制服务器，仅通过单一钱包地址获取收益。不同于2017年4月底爆发的多重僵尸网络MyKings，这种代码布局更加紧凑，制作成本小，因此犯罪门槛也更低。

据360内多个团队联合分析，该病毒主要是想窃取设备的算力，并没有直接从钱包里窃取代币。到目前为止，该蠕虫的指定钱包还没有收到矿池的第一笔付款。相比之下，MyKings截至今年1月已经收获了8000枚门罗币。以当前门罗币200.61美元的价格计算，MyKings已经获取了超过1000万元的收益。

迄今为止，多数挖矿蠕虫大多都瞄准了门罗币。其中的原因，一来是门罗币挖矿的成本较低，在当前挖矿成本渐涨、代币币值不稳的趋势下，挖矿成本低能更好地保证收益；二来是因为门罗币具备很高的隐秘性，只有交易双方能看到具体交易金额，不易追踪。

截图来自CoinMarketCap，门罗币当前价格为200.61美元，

对于普通用户来说，由于该蠕虫的幕后黑手并没有多大野心，只是窃取了一些设备的算力。因此，设备被感染后很难被发现，只有轻微的卡顿出现。

对于用户一端来说，最好的防范措施，就是确保关掉 5555 ADB调试接口，如果发现该蠕虫植入的恶意程序则立即清除。

虽然ADB.Miner掀起的风波可谓是有惊无险，但是这次蠕虫的侵袭却给让大家意识到，之前普遍被认为保护很好5555接口，有可能成为一个新的病毒突破口。因此，日后有可能产生更多蠕虫，利用这个接口袭扰挖矿机。