TrendMicro détecte un malware Crypto Mining affectant les périphériques Android

TrendMicro détecte un malware Crypto Mining affectant les périphériques Android

Un nouveau réseau de robots d’exploitation de cryptocurrences a été détecté exploitant les ports du pont de débogage Android, un système conçu pour résoudre les défauts des applications installées sur la majorité des téléphones et tablettes Android.

Le malware du botnet, tel que rapporté par Trend Micro, a été détecté dans 21 pays et est le plus répandu en Corée du Sud.

L’attaque profite de la façon dont les ports ADB ouverts ne nécessitent pas d’authentification par défaut, et une fois installé est conçu pour se propager à tout système qui a précédemment partagé une connexion SSH. Les connexions SSH connectent un large éventail d’appareils – du mobile aux gadgets de l’Internet des Objets (IoT) – ce qui signifie qu’un grand nombre de produits sont sensibles.

« Le fait d’être un dispositif connu signifie que les deux systèmes peuvent communiquer l’un avec l’autre sans aucune autre authentification après l’échange initial de clés, chaque système considère l’autre comme sûr « , disent les chercheurs. « La présence d’un mécanisme de diffusion peut signifier que ce malware peut abuser du processus largement utilisé pour établir des connexions SSH. »

Il commence par une adresse IP.

45[…]67[…]14[…]179 arrive par l’intermédiaire d’ADB et utilise le shell de commande pour mettre à jour le répertoire de travail en « /data/local/tmp », car les fichiers.tmp ont souvent la permission par défaut pour exécuter des commandes.

Une fois que le bot détermine qu’il est entré dans un pot de miel, il utilise la commande wget pour télécharger la charge utile de trois mineurs différents, et se courber si wget n’est pas présent dans le système infecté.

Le logiciel malveillant détermine quel mineur est le mieux à même d’exploiter la victime en fonction du fabricant, de l’architecture, du type de processeur et du matériel du système.

Une commande supplémentaire, chmod 777 a.sh, est alors exécutée pour modifier les paramètres d’autorisation de la goutte malveillante. Enfin, le bot se cache de l’hôte en utilisant une autre commande, rm -rf a.sh*, pour supprimer le fichier téléchargé. Cela cache également la trace de l’origine de l’insecte qui se propage à d’autres victimes.

Les chercheurs ont examiné le scénario d’invasion et déterminé les trois mineurs potentiels qui peuvent être utilisés dans l’attaque – tous livrés par la même URL – sont :

  • http://198[.]98[.]51[.]104:282/x86/bash
  • http://198[.]98[.]51[.]104:282/arm/bash
  • http://198[.]98[.]51[.]104:282/aarch64/bash

Ils ont également trouvé que le script améliore la mémoire de l’hôte en permettant à HugePages, qui permet aux pages de mémoire qui sont plus grandes que sa taille par défaut, d’optimiser le rendement minier.

Si des mineurs sont déjà trouvés en utilisant le système, le botnet tente d’invalider leur URL et de les tuer en modifiant le code hôte.

Les gouttes de cryptomination pernicieuses et malveillantes évoluent continuellement vers de nouvelles façons d’exploiter leurs victimes. L’été dernier, Trend Micro a observé une autre exploitation de la BAD qu’elle a baptisée la variante Satoshi.

Outlaw, a été repéré ces dernières semaines en train de répandre une autre variante de l’exploitation minière Monero à travers la Chine par des attaques par la force brute contre les serveurs.

A l’époque, les chercheurs n’avaient pas encore déterminé si le botnet avait commencé les opérations minières, mais ils avaient trouvé un Android APK dans le script, indiquant que les appareils Android pouvaient être ciblés.

charles