TrendMicro detecta malware de mineração de Cripto afetando dispositivos Android

Uma nova botnet de mineração de criptomoedas foi detectada explorando portas do Android Debug Bridge, um sistema projetado para resolver defeitos de aplicativos instalados na maioria dos telefones e tablets Android.

O malware botnet, conforme relatado pela Trend Micro, foi detectado em 21 países e é mais prevalente na Coreia do Sul.

O ataque tira vantagem da maneira como portas ADB abertas T exigem autenticação por padrão e, uma vez instaladas, é projetada para se espalhar para qualquer sistema que tenha compartilhado uma conexão SSH anteriormente. As conexões SSH conectam uma ampla gama de dispositivos – tudo, desde dispositivos móveis até gadgets da Internet das Coisas (IoT) – o que significa que muitos produtos são suscetíveis.

"Ser um dispositivo conhecido significa que os dois sistemas podem se comunicar sem nenhuma autenticação adicional após a troca de chaves inicial, cada sistema considera o outro como seguro", dizem os pesquisadores. "A presença de um mecanismo de disseminação pode significar que esse malware pode abusar do processo amplamente usado de fazer conexões SSH."

Começa com um endereço IP.

45[.]67[.]14[.]179 chega através do ADB e usa o shell de comando para atualizar o diretório de trabalho para "/data/local/tmp", já que os arquivos .tmp geralmente têm permissão padrão para executar comandos.

Depois que o bot determina que entrou em um honeypot, ele usa o comando wget para baixar a carga útil de três mineradores diferentes e curl se o wget não estiver presente no sistema infectado.

O malware determina qual minerador é mais adequado para explorar a vítima, dependendo do fabricante do sistema, arquitetura, tipo de processador e hardware.

Um comando adicional, chmod 777 a.sh, é então executado para alterar as configurações de permissão do drop malicioso. Finalmente, o bot se esconde do host usando outro comando, rm -rf a.sh*, para excluir o arquivo baixado. Isso também esconde o rastro de onde o bug se originou, à medida que ele se espalha para outras vítimas.

Os pesquisadores examinaram o script invasor e determinaram que os três mineradores potenciais que podem ser usados no ataque – todos entregues pela mesma URL – são:

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

Eles também descobriram que o script melhora a memória do host ao habilitar HugePages, que habilita páginas de memória maiores que seu tamanho padrão, para otimizar a saída de mineração.

Se já forem encontrados mineradores usando o sistema, a botnet tenta invalidar a URL deles e matá-los alterando o código do host.

Drops perniciosos e maliciosos de criptomineração estão continuamente desenvolvendo novas maneiras de explorar suas vítimas. No verão passado, a Trend Micro observou outra exploração de ADB que eles apelidaram de Satoshi Variant.

Outlaw, foi flagrado nas últimas semanas espalhando outra variante de mineração de Monero pela China por meio de ataques de força bruta contra servidores. Na época, os pesquisadores T haviam determinado se a botnet havia iniciado as operações de mineração, mas encontraram um APK Android no script, indicando que dispositivos Android podem ser alvos.

Imagem via Shutterstock.