Nel weekend è comparsa una nuova botnet: mira ai dispositivi Android dopo aver effettuato una scansione in cerca di porte di debug aperte. Una volta individuate, infettano il dispositivo della vittima con un malware che estrae la criptovaluta Monero.
La botnet ha fatto la sua comparsa Sabato scorso, il 3 febbraio e prende di mira la porta 5555, che, nei dispositivi che seguono il SO Android, è la porta usata dal sistema operativo nativo Androird Debug Bridge (ADB). ADB è una interfaccia di debuggin che garantisce l'accesso ad alcune funzioni più delicate del sistema operativo stesso.
Solo i dispositivi Android, per adesso, sono stati infettati, come smartphone, smart TV ecc..: questi i
dati raccolti dai ricercatori di sicurezza di Qihoo 360, che hanno indivioduato la botnet. La botnet è chiamata ADB.miner.
I dispositivi bersaaglio
La botnet è estremamente aggressiva e in crescita giorno per giorno: si comporta come un worm che usa i dispositivi infetti per scansionare Internet in cerca di altre vittime
"Il numero delle fonti di scansione è raddoppiato in appena 12 ore" dichiarano da Qihoo 360. "Vedremo quando riuscirà a crescere questa botnet".
Attualmente Qihoo 360 ha individuato scansioni da parte di ADB.miner provenienti da circa 7400 indirizzi IP univoci:
Attualmente Qihoo 360 ha individuato scansioni da parte di ADB.miner provenienti da circa 7400 indirizzi IP univoci:
Le scansioni sulla porta 5555 sono aumentate così tanto d'improvviso da aver portato la porta 5555 stessa al 4° posto delle porte più scansionate. Prima della comparsa di questa botnet non era neppure tra le prime 10.
La maggior parte degli indirizzi IP usati per la ricerca di altri dispositivi (segno che sono già stato infettati) si trovano principalmete in Cina e Corea del Sud.
ADB.miner: qualche dettaglio tecnico
ADB.miner porta con sé una novità: è la prima volta che un malware per Android prende in prestito il codice di Mirai, malware basato su Linux che in precedenza aveva preso di mira solo dispositivi di rete e IoT. Qihoo 360 conferma che ADB.miner ha usato i codici di Mirai per la scansione delle porte.
I ricercatori non hanno fornito ulteriori dettagli riguardo alle vulnerabilità sfruttate dagli attaccanti per prendere il controllo dei dispositivi, ma hanno specificato che il problema non riguarda un fornitore particolare. Se ne può dedurre, probabilmente, che il bug in questione interessi il nucleo stesso del componente ADB Android.
Per impostazione predefinita, tutte le istanze del sistema operativo Android vengono "spedite"con la porta ADB disabilitata. In sunto, e questa è l'unica buona notizia, la botnet ADB.miner rileva soltanto i dispositivi in cui i vendor o gli utenti sono intervenuti manualmente ad abilitare la porta 5555.
L'analisi del codice sorgente del malware ha rivelato che i truffatori stanno "minando" Monero usando lo stesso indirizzo di wallet Monero su due, diverse, mining pool.
Nessun commento:
Posta un commento