TrendMicro ha detectado una nueva red de bots de criptomoneda que explota los puertos de Android Debug Bridge (ADB, por sus siglas en inglés), un sistema diseñado para resolver los defectos de las aplicaciones instaladas en la mayoría de los teléfonos y tabletas con Android.

El malware de botnet, según lo informado por la “multinacional de seguridad cibernética y compañía de defensa” de Tokio, Trend Micro, se ha detectado en 21 países y es más frecuente en Corea del Sur.

El ataque se aprovecha de la forma en que los puertos ADB abiertos no requieren autenticación de forma predeterminada, y una vez instalado, está diseñado para propagarse a cualquier sistema que haya compartido una conexión SSH anteriormente. Las conexiones SSH conectan una amplia gama de dispositivos, desde dispositivos móviles a Internet of Things (IoT), lo que significa que muchos productos son susceptibles.

“Ser un dispositivo conocido significa que los dos sistemas pueden comunicarse entre sí sin más autenticación después del intercambio de claves inicial, cada sistema considera al otro como seguro”, dicen los investigadores. “La presencia de un mecanismo de propagación puede significar que este malware puede abusar del proceso ampliamente utilizado para hacer conexiones SSH”.

A partir de ahí, el ataque aprovecha el software de shell de comandos para cambiar los permisos de ejecución de ADB. Utiliza un comando llamado “wget” para tomar de tres mineros. Escoge de entre los mejores, y luego usa un comando “chmod 777 a.sh” para cambiar más permisos.

Por lo tanto, comienza con una dirección IP.

45 [.] 67 [.] 14 [.] 179 llega a través del ADB y usa el shell de comandos para actualizar el directorio de trabajo a “/ data / local / tmp”, ya que los archivos .tmp a menudo tienen permisos predeterminados para ejecutar comandos.

Una vez que el bot determina que ingresó un honeypot, usa el comando wget para descargar la carga útil de tres mineros diferentes, y se enrolla si wget no está presente en el sistema infectado.

Como señalamos anteriormente, el malware determina qué minero es el más adecuado para explotar a la víctima según el fabricante, la arquitectura, el tipo de procesador y el hardware del sistema.

Luego se ejecuta un comando adicional, chmod 777 a.sh, para cambiar la configuración de permisos de la gota maliciosa. Finalmente, el bot se oculta del host mediante otro comando, rm -rf a.sh *, para eliminar el archivo descargado. Esto también esconde el rastro de donde se originó el error, ya que se propaga a otras víctimas.

Los investigadores examinaron el script invasor y determinaron que los tres mineros potenciales que pueden usarse en el ataque, todos entregados por la misma URL, son:

http: // 198 [.] 98 [.] 51 [.] 104: 282 / x86 / bash
http: // 198 [.] 51 [.] 104: 282 / arm / bash
http: // 198 [.] 98 [.] 51 [.] 104: 282 / aarch64 / bash

También encontraron que la secuencia de comandos mejora la memoria del host al habilitar HugePages, que permite que las páginas de memoria que son más grandes que su tamaño predeterminado, optimicen la salida de minería.

Si ya se encuentran mineros utilizando el sistema, la botnet intenta invalidar su URL y eliminarlos al cambiar el código del host.

En general, estos ataques son cada vez más comunes. De hecho, Trend Micro encontró otro ataque en los sistemas ADB el año pasado, al que llamaron Satoshi Variant. Parece que los usuarios pueden querer comenzar a comprar criptomoneda en lugar de minar para mantenerse lejos de esta amenaza.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.