【観測記録 #003】ADBハニーポットでコインマイナーを捕獲 & React2Shell(CVE-2025-55182)の実スキャンを確認 — 2026年3月
概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。(2026/03/24 観測データ) 今回は2点を取り上げます。 ADBHoney が ARM ELFのコインマイナーワームをキャプチャ go-pot で CVE-2025-55182(React2Shell)を探索するスキャナーを確認 1. ADBHoney — コインマイナーワームを捕獲 ADB(Android Debug Bridge)ポートとは ADBはAndroidデバイスの開発・デバッグ用プロトコルで、TCP/5555番ポートを使います。本来は開発者向けの機能ですが、Androidデバイス(スマートフォン・テレビ・IoT機器など)がこのポートを開放したままインターネットに晒されていると、認証なしでリモートからコマンドを実行できてしまいます。 ADBHoneyはこのポートを模倣するハニーポットで、攻撃者がどんなコマンドを投げてくるかを記録します。 観測情報 中国からのIPがADB/5555番に接続してきました。 攻撃者がまずやったのはCPUアーキテクチャの確認。次に「ARMバイナリ」を /data/local/tmp に送り込み、com.ufo.miner というAPKをインストールして起動——という一連の手順を粛々と実行していきました。 uname -m 2>/dev/null || getprop ro.product.cpu.abi # CPUアーキ確認 [ARM ELF バイナリ送信] # マルウェア投下 pm path com.ufo.miner # インストール確認 am start -n com.ufo.miner/com.example.test.MainActivity # 起動 投下されたバイナリをVirusTotalで確認したところ、65エンジン中38が検知(trojan.adbminer/ienyf、ファミリー:adbminer / mirai)。 サンプルの特徴 このサンプルはADB.Miner(別名Fbot)と呼ばれる既知のコインマイナーワームです。いくつかの特徴的な動作を持っています。 自己拡散:Miraiの拡散コードを流用しており、感染した端末が次の犠牲者を探してADB/5555番をスキャンし続けます。ワームとして自律的に広がっていくタイプです。 競合排除:ps | grep で動いている他のマイナープロセスを見つけ、kill で排除します。リソースを独占するために競合するマルウェアを蹴落とします。 サンドボックス検知:detect-debug-environment タグが確認されており、解析環境を検知して動作を変える仕組みが内蔵されています。 偽装:マイニング用APKのパッケージ名はVirusTotalの検体ページで確認できます。 サンプル情報 種別 値 SHA256 71ecfb7bbc015b2b192c05f726468b6f08fcc804c093c718b950e688cc414af5 ファイルサイズ 225.78 KB アーキテクチャ ARM ELF VT 検知率 38/65(58%) 攻撃元IPの詳細情報(GreyNoise / VirusTotalで確認できます): ...