TrendMicro detecta malware de minería de Cripto que afecta a dispositivos Android

Se ha detectado una nueva botnet de minería de criptomonedas que explota los puertos de Android Debug Bridge, un sistema diseñado para resolver defectos de aplicaciones instalados en la mayoría de teléfonos y tabletas Android.

El malware botnet, según informa Trend Micro, ha sido detectado en 21 países y es más frecuente en Corea del Sur.

El ataque aprovecha que los puertos ADB abiertos no requieren autenticación por defecto y, una vez instalado, está diseñado para propagarse a cualquier sistema que haya compartido previamente una conexión SSH. Las conexiones SSH conectan una amplia gama de dispositivos, desde móviles hasta dispositivos del Internet de las Cosas (IoT), lo que significa que muchos productos son vulnerables.

"Al ser un dispositivo conocido, ambos sistemas pueden comunicarse sin necesidad de autenticación adicional tras el intercambio inicial de claves; cada sistema considera al otro seguro", afirman los investigadores. "La presencia de un mecanismo de propagación podría significar que este malware puede abusar del proceso, ampliamente utilizado, de establecer conexiones SSH".

Comienza con una dirección IP.

45[.]67[.]14[.]179 llega a través del ADB y utiliza el shell de comandos para actualizar el directorio de trabajo a "/data/local/tmp", ya que los archivos .tmp a menudo tienen permiso predeterminado para ejecutar comandos.

Una vez que el bot determina que ha ingresado a un honeypot, utiliza el comando wget para descargar la carga útil de tres mineros diferentes y curl si wget no está presente en el sistema infectado.

El malware determina qué minero es el más adecuado para explotar a la víctima dependiendo del fabricante del sistema, la arquitectura, el tipo de procesador y el hardware.

Se ejecuta un comando adicional, chmod 777 a.sh, para cambiar la configuración de permisos del archivo malicioso. Finalmente, el bot se oculta del host mediante otro comando, rm -rf a.sh*, para eliminar el archivo descargado. Esto también oculta el origen del error a medida que se propaga a otras víctimas.

Los investigadores examinaron el script invasor y determinaron que los tres mineros potenciales que se pueden usar en el ataque (todos distribuidos por la misma URL) son:

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/brazo/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

También descubrieron que el script mejora la memoria del host al habilitar HugePages, que habilita páginas de memoria que son más grandes que su tamaño predeterminado, para optimizar la salida de minería.

Si ya se encuentran mineros usando el sistema, la botnet intenta invalidar su URL y eliminarlos cambiando el código del host.

Los ataques de criptominería perniciosos y maliciosos desarrollan continuamente nuevas formas de explotar a sus víctimas. El verano pasado, Trend Micro observó otra vulnerabilidad de explotación de ADB, a la que denominaron la variante Satoshi.

Outlaw fue detectado en las últimas semanas propagando otra variante de minería de Monero en China mediante ataques de fuerza bruta contra servidores. En ese momento, los investigadores no habían determinado si la botnet había iniciado operaciones de minería, pero encontraron un APK de Android en el script, lo que indica que los dispositivos Android podrían ser el objetivo.

Imagen vía Shutterstock.