TrendMicro rileva malware di Cripto che colpisce i dispositivi Android

È stata individuata una nuova botnet per il mining di criptovalute che sfrutta le porte di Android Debug Bridge, un sistema progettato per risolvere i difetti delle app installate sulla maggior parte dei telefoni e tablet Android.

Secondo quanto riportato da Trend Micro, il malware botnet è stato rilevato in 21 Paesi ed è particolarmente diffuso in Corea del Sud.

L'attacco sfrutta il modo in cui le porte ADB aperte T richiedono l'autenticazione di default e, una volta installate, sono progettate per diffondersi a qualsiasi sistema che abbia precedentemente condiviso una connessione SSH. Le connessioni SSH collegano un'ampia gamma di dispositivi, da quelli mobili a quelli dell'Internet of Things (IoT), il che significa che molti prodotti sono vulnerabili.

"Essere un dispositivo noto significa che i due sistemi possono comunicare tra loro senza ulteriori autenticazioni dopo lo scambio iniziale di chiavi, ogni sistema considera l'altro sicuro", affermano i ricercatori. "La presenza di un meccanismo di diffusione può significare che questo malware può abusare del processo ampiamente utilizzato per stabilire connessioni SSH".

Inizia con un indirizzo IP.

45[.]67[.]14[.]179 arriva tramite ADB e usa la shell dei comandi per aggiornare la directory di lavoro in "/data/local/tmp", poiché i file .tmp hanno spesso l'autorizzazione predefinita per eseguire comandi.

Una volta che il bot determina di essere entrato in un honeypot, utilizza il comando wget per scaricare il payload di tre diversi miner e curl se wget non è presente nel sistema infetto.

Il malware determina quale miner è più adatto a sfruttare la vittima in base al produttore del sistema, all'architettura, al tipo di processore e all'hardware.

Viene quindi eseguito un comando aggiuntivo, chmod 777 a.sh, per modificare le impostazioni di autorizzazione del drop dannoso. Infine, il bot si nasconde dall'host utilizzando un altro comando, rm -rf a.sh*, per eliminare il file scaricato. Ciò nasconde anche la traccia da cui ha avuto origine il bug mentre si diffonde ad altre vittime.

I ricercatori hanno esaminato lo script di invasione e hanno determinato che i tre potenziali miner che possono essere utilizzati nell'attacco, tutti forniti dallo stesso URL, sono:

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

Hanno anche scoperto che lo script migliora la memoria dell'host abilitando HugePages, che consente pagine di memoria maggiori della dimensione predefinita, per ottimizzare l'output di mining.

Se vengono già rilevati dei miner che utilizzano il sistema, la botnet tenta di invalidare il loro URL e di eliminarli modificando il codice host.

I drop di cryptomining perniciosi e maligni evolvono continuamente nuovi modi per sfruttare le loro vittime. L'estate scorsa, Trend Micro ha osservato un altro exploit ADB che hanno soprannominato Satoshi Variant.

Outlaw è stato individuato nelle ultime settimane mentre diffondeva un'altra variante di mining Monero in Cina tramite attacchi brute-force contro i server. Al momento i ricercatori T avevano ancora stabilito se la botnet avesse iniziato le operazioni di mining, ma hanno trovato un APK Android nello script, il che indica che i dispositivi Android potrebbero essere presi di mira.

Immagine tramite Shutterstock.