Botnet usa SSH e ADB para criar um exército Android de mineração

De acordo com o site BleepingComputer foi descoberto que um Botnet usa SSH e ADB para criar um exército Android de mineração. Entenda melhor essa ameaça.

Pesquisadores descobriram uma botnet de mineração criptografada que usa a interface Wi-Fi do Android Debug Bridge (ADB) e conexões SSH para hosts armazenados na lista known_hosts para se espalhar para outros dispositivos.

Botnet usa SSH e ADB para criar um exército Android de mineração

Botnet usa SSH e ADB para criar um exército Android de mineração

Embora o ADB esteja desativado na maioria dos dispositivos Android por padrão, alguns pacotes habilitados permitem que invasores não autenticados se conectem remotamente pela porta 5555 TCP, fornecendo acesso direto por meio do shell de comando do ADB, que é normalmente usado pelos desenvolvedores para instalar e depurar aplicativos.

O botnet está ativo em ’21 países diferentes, com o maior percentual encontrado na Coréia do Sul’, segundo Jindrich Karasek, pesquisador de ameaças virtuais da Trend Micro.

A Shodan retornou 13.577 alvos potenciais conectados à Internet com a interface de depuração ADB ativada.

No início do processo de infecção, o malware se conectará aos dispositivos em que a interface ADB estiver acessível e imediatamente “mudará o diretório de trabalho do sistema atacado para /data/local/tmp” para aproveitar todos os arquivos salvos nessa pasta recebendo permissão para executar por padrão.

Em seguida, o implante mal-intencionado verificará se ele acessou um honeypot e o tipo de sistema que ele conseguiu se infiltrar para poder baixar um payload de script de dropper de malware usando o wget ou curl, a partir de um servidor controlado pelo invasor na forma de um script Bash chamado a.sh.

Depois de ser lançado no dispositivo infectado, o conta-gotas será imediatamente removido para apagar quaisquer vestígios de infecção e evitar a detecção.

Um payload do minerador será baixada após a verificação da arquitetura do sistema, com o conta-gotas tendo a opção de “escolher entre três diferentes mineradores carregáveis”.

Como é habitual nos dias de hoje, os mineiros de criptomoedas maliciosos concorrentes também são alvo do bot com seus processos sendo finalizados e seu acesso à Internet bloqueado alterando o arquivo /etc/hosts, redirecionando todas as conexões para o endereço não-roteável 0.0.0.0.

Karasek também observa que:

“Para otimizar a atividade de mineração, o script também aprimora a memória da vítima ativando o HugePages, que ajudará o sistema a suportar páginas de memória maiores que seu tamanho padrão. Essa habilidade pode ser vista no script como ‘/sbin/sysctl -w vm.nr_hugepages=128’.”

Espalhando para outros dispositivos usando o SSH

Embora essa botnet exiba um comportamento semelhante a outras pessoas que visam dispositivos com ADB habilitado, essa cepa de malware adiciona um novo mecanismo de disseminação via SSH que permite infectar sistemas listados no arquivo known_hosts de dispositivos comprometidos.

Sobre isso, a Trend Micro disse o seguinte:

“Ser um dispositivo conhecido significa que os dois sistemas podem se comunicar uns com os outros sem qualquer autenticação adicional após a troca de chave inicial, cada sistema considera o outro como seguro.”

Cadeia de infecção

O botnet usará a chave pública SSH id_rsa.pub da vítima e os hosts conhecidos, caso consiga se conectar a qualquer outro ‘dispositivo ou sistema inteligente que tenha se conectado anteriormente ao sistema infectado’.

Uma vez conectado via SSH a outro alvo, o malware usa o script spreader para baixar, instalar e iniciar um payload do minerador especificamente projetada para ser descartada por esse vetor de ataque.

Karasek conclui que:

“Embora o ADB seja um recurso útil para administradores e desenvolvedores, é importante lembrar que um ADB habilitado pode expor o dispositivo e aqueles conectados a ele a ameaças.”

Uma lista de indicadores de comprometimento (IOCs) incluindo hashes SHA256 para os vários scripts e componentes usados ​​pelo botnet, assim como endereços IP dos servidores usados ​​para distribuir as cargas maliciosas estão disponíveis no final da análise de Karasek, junto com mais detalhes no funcionamento interno da botnet.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Deixe um comentário

Sair da versão mobile