I ricercatori di sicurezza IT di Netlab, società di sicurezza informatica cinese, hanno rivelato che il malware ADB.miner (in arte Android.CoinMine.15) si diffonde ad un ritmo eccessivo.
Il tasso di diffusione è talmente alto da rasentare il doppio giornalmente.
La subdola campagna di mining di Monero su Android tramite ADB.miner
Stando al post di Netlab, i dispositivi infettati sono per lo più smart TV poichè questi dispositivi utilizzano l’Android Debug Bridge (ADB) per poter mantenere connessioni ad Internet ininterrotte.
In ogni caso anche box multimediali, router, tablet, telefoni basati su Android e piattaforme Raspberry Pi 3 sono tutti potenziali obiettivi di questo malware.
Come funziona ADB.miner
Questo Trojan Android esegue il mining di criptovalute Monero – la criptovaluta che piace maggiormente alla Cina – e può facilmente infettare altri dispositivi Android; lo fa utilizzando la porta aperta 5555 utilizzata da ADB (da qui il suo nome).
Un bot (botnet) bombarda la rete alla ricerca di dispositivi Android con la porta 5555 aperta. Tramite l’applicazione Droidbot.apk con i file nohup, sss e bot.dat, il dispositivo viene infettato per poi continuare a propagare verso altri dispositivi.
Il file sss viene eseguito utilizzando l’utility nohup che funge da demone ed estrae altri componenti da bot.dat. Questi componenti includono un file di configurazione json, una copia del programma Trojan droidbot e due applicazioni minatore (una per sistemi operativi a 32 bit ed una per i 64 bit).
Una volta eseguito, droidbot tenta di creare una connessione con la porta 5555 tramite un indirizzo IP casuale. Crea quindi un loop infinito, che infetta il dispositivo sfruttando l’interfaccia del debugger ADB.
Crea poi un thread separato dove viene lanciata un’applicazione di mining; questa applicazione è progettata per fare il mining (estrarre) la criptovaluta Monero.
A causa delle operazioni di data mining, le prestazioni del dispositivo infettato sono significativamente ridotte. Questo per l’uso intensivo della cpu e conseguente rapido surriscaldamento.
È necessario notare che il debugger ADB è disabilitato di fabbrica nella maggior parte dei dispositivi Android, mentre sulle smart TV Android spesso è attivo.
I dispositivi Android così infettati, scandagliano poi la rete al solo scopo di trovare altri dispositivi con la porta 5555 aperta, per poi infettarli.
La diffusione
Nel succitato post, Netlab dichiara che le proprie strutture sono state scansionate da circa 3000 IP univoci nelle prime 24 ore successive al lancio del botnet maligno.
Traducendo una loro dichiarazione:
Complessivamente, pensiamo che esista un nuovo worm attivo che punta alla diffusione tramite interfaccia di debug ADB di Android, e questo worm ha probabilmente infettato più di 5.000 dispositivi in sole 24 ore. Questi dispositivi infetti stanno attivamente cercando di diffondere il codice dannoso .
