Os hackers descobriram uma maneira de explorar brechas nas portas abertas do Android Debug Bridge (ADB), um programa cliente-servidor usado no desenvolvimento de aplicativos Android, para explorar ativos digitais baseados em blockchain. Depois que um dispositivo é infectado, os agentes mal-intencionados podem espalhar o malware para os dispositivos conectados via Secure Socket Shell (SSH), de acordo com um relatório da TrendMicro em 20 de junho de 2019.
Segundo os pesquisadores, a ausência de qualquer forma de mecanismo de autenticação nas portas ADB abertas por padrão torna mais fácil para os hackers plantarem o malware e espalhá-lo rapidamente do host infectado para qualquer sistema que tenha se conectado anteriormente com o host por meio do SSH.
Especificamente, os pesquisadores revelaram que os ataques envolvendo o malware foram descobertos em 21 países diferentes, incluindo a Coréia do Sul, que tem a maior porcentagem.
Modo de operação
Segundo consta, os hackers conectam sua botnet a um dispositivo em execução no ADB via endereço IP, 45 [.] 67 [.] 14 [.] 179. Em seguida, ele vai em frente para alterar o diretório de trabalho do sistema para “/ data / local / tmp”, usando o shell de comando do ADB, pois os arquivos .tmp geralmente têm permissão para serem executados por padrão.
Depois disso, o botnet tenta descobrir se o seu host é um honeypot ou não, usando o comando “uname -a”, antes de baixar a carga de malware de mineração de criptomoeda correspondente usando wget ou curl, se o primeiro não estiver disponível no sistema infectado.
Para alterar as configurações de permissão do dispositivo para permitir que a carga baixada seja executada automaticamente, o bot emite o comando “chmod 777 a.sh”.
Uma vez que o comando a.sh tenha sido executado com sucesso no sistema da vítima, o bot usa o comando “rm -rf a.sh *” para remover seus traços.
Isso não é tudo, para garantir que suas atividades permaneçam despercebidas pelo host, o malware de botnet exclui todos os arquivos baixados e arquivos de carga útil depois que ele deve se propagar em outros dispositivos conectados ao sistema infectado.
Medidas preventivas
Os pesquisadores aconselharam os usuários de dispositivos Android a verificar e alterar regularmente as configurações padrão para aumentar a segurança, atualizar o firmware em seus dispositivos e instalar os patches quando necessário, enquanto tentam obter informações sobre novos métodos usados pelos hackers para espalhar malwares e bloquear as defesas contra eles.
Como alternativa, os usuários de dispositivos Android podem baixar e instalar a versão mais recente do Trend Micro Mobile Security para Android pelo Google Play.
À medida que o bitcoin (BTC) e as altcoins continuam aumentando em valor e casos de uso, os hackers estão constantemente formulando novos métodos de enriquecimento com moedas digitais de formas ilícitas.
Traduzido e adaptado de: btcmanager.com
