TrendMicro détecte un malware de minage de Crypto affectant les appareils Android

Un nouveau botnet de minage de crypto-monnaie a été détecté exploitant les ports Android Debug Bridge, un système conçu pour résoudre les défauts des applications installées sur la majorité des téléphones et tablettes Android.

Le malware botnet, tel que rapporté par Trend Micro, a été détecté dans 21 pays et est le plus répandu en Corée du Sud.

L'attaque exploite le fait que les ports ADB ouverts ne nécessitent T d'authentification par défaut et, une fois installée, elle est conçue pour se propager à tout système ayant déjà partagé une connexion SSH. Les connexions SSH connectent une grande variété d'appareils, des appareils mobiles aux gadgets de l'Internet des objets (IoT), ce qui signifie que de nombreux produits sont vulnérables.

« Le fait qu'il s'agisse d'un appareil connu signifie que les deux systèmes peuvent communiquer entre eux sans autre authentification après l'échange initial de clés ; chaque système considère l'autre comme sûr », expliquent les chercheurs. « La présence d'un mécanisme de propagation pourrait signifier que ce logiciel malveillant peut exploiter le processus largement utilisé de connexion SSH. »

Tout commence par une adresse IP.

45[.]67[.]14[.]179 arrive via l'ADB et utilise le shell de commande pour mettre à jour le répertoire de travail vers « /data/local/tmp », car les fichiers .tmp ont souvent l'autorisation par défaut d'exécuter des commandes.

Une fois que le bot détermine qu'il est entré dans un pot de miel, il utilise la commande wget pour télécharger la charge utile de trois mineurs différents et curl si wget n'est pas présent dans le système infecté.

Le logiciel malveillant détermine quel mineur est le mieux adapté pour exploiter la victime en fonction du fabricant du système, de l’architecture, du type de processeur et du matériel.

Une commande supplémentaire, chmod 777 a.sh, est ensuite exécutée pour modifier les paramètres d'autorisation du fichier malveillant. Enfin, le bot se dissimule à l'hôte grâce à une autre commande, rm -rf a.sh*, pour supprimer le fichier téléchargé. Cela permet également de masquer l'origine du bug lors de sa propagation à d'autres victimes.

Les chercheurs ont examiné le script d'invasion et ont déterminé que les trois mineurs potentiels qui peuvent être utilisés dans l'attaque - tous livrés par la même URL - sont :

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

Ils ont également découvert que le script améliore la mémoire de l’hôte en activant HugePages, qui active les pages de mémoire supérieures à leur taille par défaut, pour optimiser la sortie minière.

Si des mineurs sont déjà détectés en train d'utiliser le système, le botnet tente d'invalider leur URL et de les tuer en modifiant le code hôte.

Les attaques de cryptominage pernicieuses et malveillantes développent constamment de nouvelles méthodes pour exploiter leurs victimes. L'été dernier, Trend Micro a observé une autre exploitation d'ADB, baptisée « variante Satoshi ».

Outlaw a été repéré ces dernières semaines en train de propager une autre variante de minage de Monero en Chine par le biais d'attaques par force brute contre des serveurs. À l'époque, les chercheurs n'avaient pas T déterminé si le botnet avait commencé ses opérations de minage, mais ont découvert un fichier APK Android dans le script, indiquant que les appareils Android pourraient être ciblés.

Image via Shutterstock.