Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

ADB.Miner: scoperto bot Android per il mining di criptovaluta

ADB.Miner  botnet  monero   giovedì, 8 febbraio 2018

I ricercatori di sicurezza della società cinese Qihoo 360 hanno recentemente scoperto una botnet in rapida crescita che coinvolge dispositivi Android e li sfrutta per effettuare il mining della criptovaluta Monero (XMR).

Il malware responsabile di questa botnet, denominato ADB.Miner, si auto-replica con capacità di worm su dispositivi Android, per lo più smartphone e smart TV (o TV box), che presentano la porta TCP 5555 aperta.

La porta 5555 viene utilizzata dal servizio Android Debug Bridge (ADB), uno strumento a riga di comando che consente di comunicare con un dispositivo Android da remoto. ADB consente di svolgere diverse azioni sul dispositivo, tra cui l’installazione e il debug di app, e fornisce l’accesso ad una shell Unix che è possibile utilizzare per eseguire una varietà di comandi. La porta 5555 dovrebbe essere di norma chiusa e non può essere aperta da remoto. Ciò implica che i dispositivi infetti da ADB.Miner presentano la porta 5555 aperta o per scelta progettuale del produttore, o in seguito ad un intervento da parte dell’utente.

Stando a quanto riportato dagli esperti che hanno analizzato la botnet, le prime infezioni sono state osservate già a partire dal 31 gennaio scorso, mentre le scansioni sulla porta 5555 che segnalano l’attività del bot hanno iniziato ad essere rilevate a partire dal 3 febbraio. In sole 24 ore l’azione di ADB.Miner si è più che decuplicata, attestandosi successivamente su un numero di indirizzi IP diversi coinvolti, corrispondenti a possibili dispositivi infetti, dell’ordine dei 7000 (rilevazione al 5 febbraio). Da quel momento la dimensione della botnet parrebbe essersi stabilizzata.

La maggior parte dei dispositivi infetti si trova in Cina (39% compresi Hong Kong e Taiwan) e in Corea del Sud (39%). Anche Stati Uniti ed Europa, Italia compresa, risultano coinvolti, anche se in misura minore.

Un’analisi più approfondita degli esemplari catturati di ADB.Miner ha rivelato che il codice utilizzato dal malware per effettuare le scansioni di rete è derivato in parte da quello di Mirai. Un dispositivo infetto avvia la scansione di rete sulla porta TCP 5555 e tenta di eseguire un comando ADB per replicare sé stesso sui dispositivi così scoperti.

Una volta preso possesso di un dispositivo, ADB.Miner inizia immediatamente ad estrarre Monero utilizzando uno script JavaScript basato sulla libreria Coinhive, inserito in una pagina HTML caricata mediante una WebView. ADB.Miner non utilizza un server C&C, ma riversa tutti i suoi “guadagni” in un unico portafoglio Monero.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non installare mai app di dubbia provenienza o direttamente tramite APK e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.


Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Incremento degli attacchi verso sistemi ERP

27 luglio 2018

È stato di recente rilevato un forte incremento di tentativi di attacco rivolti a tecnologie ed applicazioni ERP (Enterprise Resource Planning).Leggi tutto

Wicked: scoperta nuova variante della botnet Mirai

18 maggio 2018

Il team di ricerca di Fortinet Labs ha individuato una nuova variante del bot Mirai, battezzata Wicked.Leggi tutto

MassMiner: nuovo malware per il mining di criptovalute attacca server vulnerabili

4 maggio 2018

I ricercatori di Alien Vault hanno identificato una nuova famiglia di malware per il mining di criptovalute, battezzata MassMiner, che si diffonde come un worm sfruttando un gran numero di exploit per diversi sistemi e server.Leggi tutto