Se ha descubierto una nueva botnet de minería de criptomonedas que utiliza la interfaz de Wi-Fi del Puente de depuración de Android (ADB) y las conexiones SSH a los hosts para infectar otros dispositivos. El malware de botnets se ha extendido a 21 países con las tasas más altas de infección observadas en Corea del Sur, reveló un informe de Trend Micro.
Mientras que el ADB está deshabilitado en la mayoría de los dispositivos Android de forma predeterminada, algunos se entregan con esta función habilitada, lo que permite que los atacantes no autenticados se conecten de forma remota a través del puerto 5555 TCP y obtengan acceso directo a través del shell de comandos del ADB que los desarrolladores utilizan comúnmente para instalar y depurar aplicaciones. .
Durante la primera etapa del ataque, la dirección IP 45 [.] 67 [.] 14 [.] 179 se conecta a un dispositivo que ejecuta ADB y usa el comando shell de ADB para cambiar el directorio de trabajo del sistema atacado a “/ data / local / tmp “. Esta modificación se basa en el hecho de que los archivos .tmp normalmente tienen permisos de ejecución predeterminados.
Luego, el robot realiza una serie de exploraciones para determinar si aterrizó en un honeypot y qué tipo de sistema operativo se está ejecutando en el dispositivo de destino. A continuación, el implante malicioso utiliza wget para descargar la carga útil, y se curva si wget no está presente en el sistema infectado. El bot ejecuta el comando “chmod 777 a.sh” para cambiar la configuración de permisos de la carga útil descargada y ejecuta una serie de comandos para eliminar sus huellas.
Una vez descargada, la carga útil le permite a la botnet elegir a uno de los tres mineros según el fabricante del sistema infectado, la arquitectura, el tipo de procesador y el hardware. Los tres mineros son entregados por la misma URL.
“Para optimizar la actividad de minería, la secuencia de comandos también mejora la memoria de la víctima al habilitar HugePages, lo que ayudará al sistema a admitir páginas de memoria que sean mayores que su tamaño predeterminado. Esta habilidad se puede ver en el guión como “/ sbin / sysctl -w vm.nr_hugepages = 128”, señalan los investigadores.
Además, el bot apunta a los mineros rivales de criptomoneda si se encuentran en el dispositivo de la víctima. Bloquea a su competidor modificando / etc / hosts y agregando el registro adicional “0.0.0.0 miningv2.duckdns.org”, que bloquea la URL del minero competidor.
Uno de los aspectos interesantes de esta botnet es el uso de un mecanismo de propagación a través de SSH que le permite infectar los sistemas enumerados en el archivo conocido_hosts de los dispositivos comprometidos.
“Ser un dispositivo conocido significa que el sistema puede comunicarse con el otro sistema sin más autenticación después del intercambio de claves inicial, es decir, cada sistema considera al otro como seguro. “La combinación de hosts conocidos y la clave pública de la víctima hace posible que el malware se conecte a dispositivos o sistemas inteligentes que se han conectado previamente al sistema infectado”, explica Trend Micro.
Una vez conectado a través de SSH a otro objetivo, el malware utiliza dos scripts de propagación para descargar, instalar y lanzar una carga útil de minero.