Una nueva botnet apareció el 3 de febrero y que está orientado dispositivos Android de escaneo de puertos de depuración abierta que infecta a las víctimas con malware que minan criptomoneda Moneo.
La botnet volvió a la vida el sábado 3 de febrero, y se dirige a puerto 5555, que en dispositivos que ejecutan el sistema operativo Android es el puerto utilizado por el sistema operativo nativo de Android depuración Bridge (ADB), una interfaz de depuración que permite el acceso a algunas de las características más sensibles del sistema operativo.
Sólo los dispositivos que ejecutan el sistema operativo Android han sido infectadas hasta ahora, tales como teléfonos inteligentes, televisores inteligentes y decodificadores de televisión, de acuerdo a los investigadores de seguridad de la división de Qihoo 360 laboratorio de investigación de seguridad de la red [Netlab], los que descubrieron la red de bots, que el nombre ADB.miner
.
El botnet ha infectado alrededor de 7.400 dispositivos
La botnet ha sido extremadamente agresivo y ha crecido cada día, exhibiendo un comportamiento similar a un gusano, con dispositivos infectados escanear Internet para otras víctimas.
“El número de escaneo de Fuentes se ha duplicado cada 12 horas”, dijo Yiming Gong, director del Laboratorio de Investigación de Seguridad de Redes en Qihoo 360. “Vamos a ver lo grande que esta botnet se pone.”
Actualmente, Netlab ha detectado exploraciones ADB.miner procedentes de casi 7.400 direcciones IP únicas, basadas en datos públicos recogidos por el sistema de Scanmon Netlab.
Al analizar en busca de este puerto ha sido tan generalizada al puerto 5555 que se ha colocado en el top 4 de puertos más escaneados de NETlab. Anteriormente, no habia llegado top 10.
La exploración por las direcciones IP de otros dispositivos (lo que significa que ya están infectados) se encuentran en China ( 40%) y Corea del Sur ( 30%).
ADB.miner tiene código Mirai
DB.miner también marca la primera vez que un ejemplar de malware Android ha prestado código de Mirai, una cepa de malware basado en Linux que se ha apuntado anteriormente sólo redes y dispositivos IO. Netlab dice ADB.miner utiliza algunos de código de escaneo de puertos de Mirai.
Los investigadores no proporcionaron detalles sobre el ADB atacantes de vulnerabilidad están utilizando para hacerse cargo de los dispositivos, pero aclararon que no creen que el error es específico de ningún proveedor en particular.
Esto probablemente significa que el error afecta el núcleo del propio componente Android ADB.
Por defecto, todas las instancias del sistema operativo Android envía hacia fuera con el puerto ADB desactivado. Los dispositivos tomados por esta red de bots son dispositivos donde los vendedores o usuarios intervenidos y habilitación de puerto de 5555 a mano.
Un análisis del código fuente de malware ADB.miner reveló que los ladrones utilizan la minería Monero con la misma dirección de la cartera Moneo en dos grupos diferentes de minería. En el momento de la escritura, los atacantes utilizan la deireccion Monero minado.