Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

ADB.Miner: scoperto bot Android per il mining di criptovaluta

ADB.Miner  botnet  monero   giovedì, 8 febbraio 2018

I ricercatori di sicurezza della società cinese Qihoo 360 hanno recentemente scoperto una botnet in rapida crescita che coinvolge dispositivi Android e li sfrutta per effettuare il mining della criptovaluta Monero (XMR).

Il malware responsabile di questa botnet, denominato ADB.Miner, si auto-replica con capacità di worm su dispositivi Android, per lo più smartphone e smart TV (o TV box), che presentano la porta TCP 5555 aperta.

La porta 5555 viene utilizzata dal servizio Android Debug Bridge (ADB), uno strumento a riga di comando che consente di comunicare con un dispositivo Android da remoto. ADB consente di svolgere diverse azioni sul dispositivo, tra cui l’installazione e il debug di app, e fornisce l’accesso ad una shell Unix che è possibile utilizzare per eseguire una varietà di comandi. La porta 5555 dovrebbe essere di norma chiusa e non può essere aperta da remoto. Ciò implica che i dispositivi infetti da ADB.Miner presentano la porta 5555 aperta o per scelta progettuale del produttore, o in seguito ad un intervento da parte dell’utente.

Stando a quanto riportato dagli esperti che hanno analizzato la botnet, le prime infezioni sono state osservate già a partire dal 31 gennaio scorso, mentre le scansioni sulla porta 5555 che segnalano l’attività del bot hanno iniziato ad essere rilevate a partire dal 3 febbraio. In sole 24 ore l’azione di ADB.Miner si è più che decuplicata, attestandosi successivamente su un numero di indirizzi IP diversi coinvolti, corrispondenti a possibili dispositivi infetti, dell’ordine dei 7000 (rilevazione al 5 febbraio). Da quel momento la dimensione della botnet parrebbe essersi stabilizzata.

La maggior parte dei dispositivi infetti si trova in Cina (39% compresi Hong Kong e Taiwan) e in Corea del Sud (39%). Anche Stati Uniti ed Europa, Italia compresa, risultano coinvolti, anche se in misura minore.

Un’analisi più approfondita degli esemplari catturati di ADB.Miner ha rivelato che il codice utilizzato dal malware per effettuare le scansioni di rete è derivato in parte da quello di Mirai. Un dispositivo infetto avvia la scansione di rete sulla porta TCP 5555 e tenta di eseguire un comando ADB per replicare sé stesso sui dispositivi così scoperti.

Una volta preso possesso di un dispositivo, ADB.Miner inizia immediatamente ad estrarre Monero utilizzando uno script JavaScript basato sulla libreria Coinhive, inserito in una pagina HTML caricata mediante una WebView. ADB.Miner non utilizza un server C&C, ma riversa tutti i suoi “guadagni” in un unico portafoglio Monero.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non installare mai app di dubbia provenienza o direttamente tramite APK e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.


Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Vulnerabilità nota di Jenkins sfruttata attivamente per estrarre Monero

16 febbraio 2018

Il team di ricerca di Check Point ha recentemente scoperto una vasta campagna fraudolenta di estrazione della criptovaluta Monero ai danni dei gestori di server CI Jenkins.Leggi tutto

SpriteCoin: il ransomware travestito da criptovaluta

26 gennaio 2018

Gli esperti di Fortinet hanno individuato un nuovo esemplare di ransomware che si spaccia per portafoglio di una fantomatica criptovaluta chiamata SpriteCoin.Leggi tutto

Scoperta variante di Mirai progettata per infettare dispositivi con CPU ARC

15 gennaio 2018

È stata scoperta una nuova famiglia di malware per sistemi Linux, battezzata Mirai Okiru, progettata per infettare dispositivi equipaggiati con CPU ARC.Leggi tutto