Técnicos da empresa chinesa 360NETLab descobriram um novo malware de mineração de criptomoedas baseado em Android que infecta dispositivos vulneráveis para minerar Monero (XMR). O script de nome ADB.Miner, roda em qualquer dispositivo com Android, seja ele smartphone, tablet ou TV’s.
Nas primeiras 48h após a descoberta do malware, os técnicos descobriram que ele se espalhou em uma velocidade muito alta, dobrando de aparelhos infectados a cada 12 horas aproximadamente. No entanto, desde o fim do dia 05/02/2018 o número de dispositivos infectados foi se estabilizando. O script entrou por meio de uma porta 555 do ADB Service que normalmente fica fechada. Por um motivo que ainda não foi explicado, a porta estava aberta no fim de janeiro.
A maioria das vítimas estão na China (39%) e Korea (39%) como pode ver no mapa abaixo:
Os técnicos da 360NETLab conseguiram recolher 9 amostras de arquivos do malware. Nas análises realizadas, o script infecta o dispositivo e inicia um scan pela porta 555 do ADB Service para baixar o restante dos arquivos. Além disso ele é capaz de se copiar para outros dispositivos a fim de aumentar a contaminação.
Após a infecção, o malware começa a puxar os tokens de Monero (XMR) para a carteira do hacker. Normalmente, em ataques dessa forma, um smartcontract move os tokens entre diversas contas, fazendo o trading em diversas criptomoedas diferentes para disfarçar o roubo. O incomum nesse episódio, é que todo o ataque direcionava os tokens para uma única carteira.
Abaixo você vê uma análise das 9 amostras recolhidas do malware:
Um outro malware desse mesmo tipo, utiliza uma técnica diferente de ataque. O nome desse malware que foi identificado no ano passado é o DroidBot.apk, que basicamente infecta o aparelho, baixa um arquivo HTML com o script para minerar a criptomoedas Monero, mantenho essa “página” aberta no webview do Android. O código da página HTML do Droidbot.apk você pode ver abaixo: