Malware faz com que milhares de telefones Android minerem Monero (XMR)

Técnicos da empresa chinesa 360NETLab descobriram um novo malware de mineração de criptomoedas baseado em Android que infecta dispositivos vulneráveis para minerar Monero (XMR). O script de nome ADB.Miner, roda em qualquer dispositivo com Android, seja ele smartphone, tablet ou TV’s.

Nas primeiras 48h após a descoberta do malware, os técnicos descobriram que ele se espalhou em uma velocidade muito alta, dobrando de aparelhos infectados a cada 12 horas aproximadamente. No entanto, desde o fim do dia 05/02/2018 o número de dispositivos infectados foi se estabilizando. O script entrou por meio de uma porta 555 do ADB Service que normalmente fica fechada. Por um motivo que ainda não foi explicado, a porta estava aberta no fim de janeiro.

A maioria das vítimas estão na China (39%) e Korea (39%) como pode ver no mapa abaixo:

Os técnicos da 360NETLab conseguiram recolher 9 amostras de arquivos do malware. Nas análises realizadas, o script infecta o dispositivo e inicia um scan pela porta 555 do ADB Service para baixar o restante dos arquivos. Além disso ele é capaz de se copiar para outros dispositivos a fim de aumentar a contaminação.

Após a infecção, o malware começa a puxar os tokens de Monero (XMR) para a carteira do hacker. Normalmente, em ataques dessa forma, um smartcontract move os tokens entre diversas contas, fazendo o trading em diversas criptomoedas diferentes para disfarçar o roubo. O incomum nesse episódio, é que todo o ataque direcionava os tokens para uma única carteira.

Abaixo você vê uma análise das 9 amostras recolhidas do malware:

Um outro malware desse mesmo tipo, utiliza uma técnica diferente de ataque. O nome desse malware que foi identificado no ano passado é o DroidBot.apk, que basicamente infecta o aparelho, baixa um arquivo HTML com o script para minerar a criptomoedas Monero, mantenho essa “página” aberta no webview do Android. O código da página HTML do Droidbot.apk você pode ver abaixo:

Deixe um comentário