top of page

Nova botnet de mineração de criptomoedas para Android dissemina-se através das portas de ADB e ssh


A porta de ADB ou Android Debug Bridge é uma porta pertencente a uma ferramenta de linha de comandos usada para o utilizador comunicar com o dispositivo. Entre outras funcionalidades, esta ferramenta facilita a instalação e debugging de aplicações, além de permitir acesso à shell de Unix para correr diversos comandos no dispositivo.

Desta forma, o ADB pode ser usado para disseminar malware através da porta 5555. Por defeito, esta porta está desativada, mas por vezes os fabricantes vendem os dispositivos com a porta aberta de forma a facilitar a personalização do sistema operativo.

A botnet mais recente descoberta a atacar os dispositivos é a Hide and Seek, e que se tem mostrado pelo endereço IP 45[.]67[.]14[.]179.

Como funciona?

Inicialmente, muda o diretório de trabalho para /data/local/tmp, já que no mesmo os ficheiros que estejam lá já têm por defeito permissão de execução. De forma a selecionar a moeda para a qual o dispositivo vai minerar, o bot começa a recolher informação do sistema, como fabricante, detalhes de hardware e arquitetura do processador. O script também ativa o HugePages, aumentando a memória do dispositivo, e dessa forma o sistema consegue suportar páginas maiores que o seu tamanho original; em termos de comunicação com outras ameaças e endpoints, o bot tenta desbloquear as resoluções de DNS modificando o ficheiro /etc/hosts.

Noutro nível, é possível observar técnicas de evasão de antivírus para apagar logs do sistema da vítima e os ficheiros baixados.

A nível de conexões SSH, essencialmente o bot aproveita-se das conexões realizadas anteriormente pela vítima e tenta-se conetar a esses sistemas a partir da lista dos "known hosts", e dessa forma não necessita de trocar de novo as chaves de ssh na autenticação.

Como evitar/prevenir?

- Verificar e mudar configurações por defeito quando necessário para aumentar a segurança

- Atualizar o firmware do dispositivo e aplicar as correções disponíveis

Fonte: https://www.bleepingcomputer.com/news/security/botnet-uses-ssh-and-adb-to-create-android-cryptomining-army/

Tags:

POSTS RECENTES:
PROCURE POR TAGS:
bottom of page