Início»Mineração»Malware faz com que milhares de telefones Android minerem Monero (XMR)

Malware faz com que milhares de telefones Android minerem Monero (XMR)

0
Compartilhamentos
Pinterest Google+

Técnicos da empresa chinesa 360NETLab descobriram um novo malware de mineração de criptomoedas baseado em Android que infecta dispositivos vulneráveis para minerar Monero (XMR). O script de nome ADB.Miner, roda em qualquer dispositivo com Android, seja ele smartphone, tablet ou TV’s.

Nas primeiras 48h após a descoberta do malware, os técnicos descobriram que ele se espalhou em uma velocidade muito alta, dobrando de aparelhos infectados a cada 12 horas aproximadamente. No entanto, desde o fim do dia 05/02/2018 o número de dispositivos infectados foi se estabilizando. O script entrou por meio de uma porta 555 do ADB Service que normalmente fica fechada. Por um motivo que ainda não foi explicado, a porta estava aberta no fim de janeiro.

A maioria das vítimas estão na China (39%) e Korea (39%) como pode ver no mapa abaixo:

Os técnicos da 360NETLab conseguiram recolher 9 amostras de arquivos do malware. Nas análises realizadas, o script infecta o dispositivo e inicia um scan pela porta 555 do ADB Service para baixar o restante dos arquivos. Além disso ele é capaz de se copiar para outros dispositivos a fim de aumentar a contaminação.

Após a infecção, o malware começa a puxar os tokens de Monero (XMR) para a carteira do hacker. Normalmente, em ataques dessa forma, um smartcontract move os tokens entre diversas contas, fazendo o trading em diversas criptomoedas diferentes para disfarçar o roubo. O incomum nesse episódio, é que todo o ataque direcionava os tokens para uma única carteira.

Abaixo você vê uma análise das 9 amostras recolhidas do malware:

Um outro malware desse mesmo tipo, utiliza uma técnica diferente de ataque. O nome desse malware que foi identificado no ano passado é o DroidBot.apk, que basicamente infecta o aparelho, baixa um arquivo HTML com o script para minerar a criptomoedas Monero, mantenho essa “página” aberta no webview do Android. O código da página HTML do Droidbot.apk você pode ver abaixo:

Leia Também:  RaiBlocks mudou de nome e agora é "Nano"

Siga-nos nas redes sociais
Canal no Telegram Siga-nos no Facebook Acompanhe nosso Twitter Siga-nos no Instaram
Artigo anterior

ANÁLISE 07/02 - Será uma luz no fim do túnel?

Próximo artigo

Análise 08-02 - Será no carnaval que os Touros vão começar a “chifrar”?

Nenhum Comentário

Deixe um comentário

This site uses Akismet to reduce spam. Learn how your comment data is processed.