El gusano ADB.Miner se propaga rápidamente en dispositivos Android

07/02/2018

Una nueva amenaza en Android ha conseguido infectar miles de dispositivos en unos cuantos días, advierten investigadores.

En una publicación del domingo, el investigador de ciberseguridad Wang Hui de 360Netlab dijo que una cepa de malware para minar criptomonedas llamada ADB.Miner ha comenzado a expandirse rápidamente. 

El malware tiene capacidades similares a los gusanos y utiliza la interfaz de depuración ADB, en el puerto 5555, para propagarse.

Por lo general, el puerto 5555 se mantiene cerrado; sin embargo, la herramienta de depuración ADB utilizada para realizar pruebas de diagnóstico a veces puede abrir este puerto, posiblemente por accidente.

Una vez que un dispositivo está infectado, continuará escaneando el puerto 5555 para propagarse aún más y encontrar otros dispositivos con el mismo puerto abierto, como teléfonos inteligentes, tabletas o televisores con alguna versión de Android instalada.

Según la firma de seguridad china, los teléfonos inteligentes y los decodificadores de TV inteligentes se encuentran entre la mayoría de los dispositivos actualmente infectados, pero la compañía no ha revelado qué modelos o proveedores.

Si bien la fecha más temprana de infección se remonta al 31 de enero, en solo 24 horas, los investigadores estiman que ADB.Miner ha podido expandirse a más de 5,000 dispositivos, principalmente en China y Corea del Sur.

"En general, creemos que el código malicioso basado en la interfaz de depuración ADB del sistema Android se está propagando en forma de gusanos e infecta a más de 5,000 dispositivos en 24 horas", dice el equipo. "Los dispositivos afectados están intentando replicar código malicioso de manera constante".

Si bien 360Netlab no ha dado detalles de la infección, posiblemente para no empeorar la situación, el equipo afirmó que el malware tiene el código Mirai dentro de su módulo de escaneo.

Mirai es una red de bots que esclavizó a millones de dispositivos vulnerables del Internet de las cosas (IoT) con el objetivo de realizar ataques de denegación de servicio distribuida (DDoS).

El malware contiene software de minería que se centra específicamente en Monero (XMR). ADB.Miner se conecta a dos grupos de minería diferentes que comparten la misma dirección de wallet.

Los ciberdelincuentes están explorando formas de utilizar mineros de criptomonedas, que no son maliciosos por sí mismos pero están siendo utilizados con fines fraudulentos. Un informe reciente de Cisco Talos ha sugerido que los ciberataques están abandonando el ransomware y están migrando hacia este tipo de esquema silencioso y más difícil de detectar.

El malware basado en la botnet Mirai, apodado Satori, ha sido descubierto recientemente apuntando a las plataformas mineras de Ethereum. Una versión modificada de Satori, llamada Satori.Coin.Robber, busca dispositivos a través del puerto 3333.

Si el malware detecta versiones anteriores del software Claymore Miner que no han sido corregidas, el código malicioso reemplaza las direcciones de billetera de usuario con otras controladas por los operadores de malware.

Actualización

Los investigadores revelaron detalles adicionales sobre ADB.Miner. Las infecciones parecen haberse estabilizado después de alcanzar un máximo de 7,000, y el equipo también ha descartado la posibilidad de que el puerto 5555 pueda ser abierto remotamente.

"Los puertos 5555 ADB de esos dispositivos ya se encontraban abiertos antes de ser infectados", dicen los investigadores. No tenemos idea de cómo y cuándo se abrió este puerto todavía ".

También parece que la propagación del gusano se implementa a través de droidbot, un archivo .apk de minería basado en el software de minería Coinhive.

Artículos Relacionados: