트렌드마이크로 측 설명에 따르면, 이 악성코드는 지난달 31일부터 시작됐으며 트렌드마이크로 시스템에 의해 지난 3일 발견됐다. 이 악성코드는 ADB 인터페이스 포트인 5555포트를 오픈해 웜(Worm)과 비슷한 행위를 보인다. 대상장비는 대부분 안드로이드 기반 스마트폰으로 파악되며 주로 중국과 한국에서 발생하는 것으로 나타났다.

또한, 이 악성코드는 미라이(mirai)의 스캐닝 코드 일부를 사용하고 있으며, 처음으로 안드로이드 봇(Bot)에 의해 사용되는 미라이(mirai) 코드다. 안드로이드 시스템의 ADB디버그 인터페이스를 목표로 새롭게 활동하는 웜으로서 24시간 만에 5,000대 이상의 장치를 감염시켰다.

포트 5555의 스캔 트래픽은 지난 3일 15시경에 시작돼 일일 평균 수치의 3배에 달하며, 24시경에 10배 정도 증가한 것으로 나타났다. 스캐닝을 시작한 IP의 수와 전체 스캐닝 트래픽은 현재까지 계속 증가하고 있다.

현재 5555포트 스캔 트래픽은 구글 스캔몬(Google Scanmon) 시스템의 모든 포트 중 상위 10개까지 올라갔다. 새로운 포트가 갑자기 상위 10개 리스트로 진입한 것은 은 2016년 9월의 미라이(mirai) 봇넷이 마지막이다. 스캔된 소스의 수는 스캔몬 시스템에서는 2,750개였고, 봇넷 추적 시스템에서는 5,500개였다.

감염된 장치는 대부분 ADB 디버깅 인터페이스가 있는 안드로이드 스마트폰 또는 TV 박스로 밝혀졌으며, 감염된 기기들은 악성코드 확산을 시도하고 있다. 트렌드마이크로는 확산 소스를 분석함으로써 대부분 스마트폰과 안드로이드 기반의 스마트 TV(TV 박스)임을 확인했다.

감염된 기기는 ‘XMR 코인’을 채굴하기 위해 사용된 것으로 보인다. 지금까지 일련의 악성 코드 중 ‘xmrig’와 관련된 것은 두 가지 구성 그룹으로, ‘XMR 코인’을 채굴하는 작업과 관련이 있는 것으로 분석됐다. 이 2개의 그룹은 동일한 지갑 주소를 공유하지만 다른 마이닝 주소를 사용한다. 트렌드마이크로는 코인이 아직 지불되지 않은 것으로 확인했다.

한편, ‘트렌드마이크로 사이버 위협 인텔리전스’는 모든 플랫폼에 적용 가능한 인텔리전스를 수집, 분석하고 있으며, 이는 ‘트렌드마이크로 X젠(XGen)’을 통해 모든 제품군에서 적용된다.