8 febbraio 2018

Alcuni giorni fa nel blog di un'azienda cinese che lavora nel campo della sicurezza delle informazioni è stata segnalata la diffusione del trojan Android.CoinMine.15, anche conosciuto come ADB.miner. Secondo i dati dei ricercatori cinesi, nel periodo attivo il trojan si diffondeva molto velocemente: il numero di dispositivi infettati si raddoppiava ogni giorno. Gli specialisti Doctor Web suppongono che la maggior parte dei dispositivi infettati siano le smart TV in quanto proprio esse, di regola, hanno una connessione permanente a Internet tramite ADB.

Questo trojan Android, studiato per l'estrazione della criptovaluta Monero, è in grado di infettare altri dispositivi senza la partecipazione dell'utente. Il programma malevolo Android.CoinMine.15 infetta i dispositivi Android con la porta 5555 aperta, che viene utilizzata dall'interfaccia del programma di debug Android Debug Bridge (ADB). Possono essere infettati non solo televisori "intelligenti", ma anche smartphone, tablet, set-top box, router, lettori multimediali e ricevitori – cioè, i dispositivi che utilizzano il debug via rete. Un altro dispositivo potenzialmente vulnerabile è il single-board computer Raspberry Pi 3 con l'SO Android installato.

La diffusione del trojan avviene nel seguente modo. Da un altro dispositivo infetto sul nodo attaccato vengono installati l'applicazione droidbot.apk, nonché i file con i nomi nohup, sss e bot.dat. Quindi il file sss si esegue tramite l'utility nohup e durante il funzionamento diventa daemon. In seguito esso estrae da bot.dat gli altri componenti del trojan, tra cui un file di configurazione in formato JSON, le applicazioni miner (per le versioni a 32 e 64 bit del sistema operativo) e un esemplare del programma trojan droidbot. Dopo l'avvio droidbot in un ciclo continuo genera un indirizzo IP in modo casuale e cerca di connettersi alla porta 5555. In caso di successo il trojan tenta di infettare il dispositivo rilevato utilizzando l'interfaccia del programma di debug ADB. In un thread separato Android.CoinMine.15 avvia un'applicazione miner studiata per estrarre la criptovaluta Monero (XMR). L'infezione da tali programmi malevoli può portare a una significativa diminuzione delle prestazioni del dispositivo, al riscaldamento del dispositivo, e inoltre a un rapido consumo della risorsa della batteria.

Nell'SO Android il programma di debug ADB è disattivato di default, però alcuni produttori lo lasciano attivato. Inoltre, l'ADB, per qualche motivo, può essere attivato dall'utente — il più spesso la modalità di debug viene utilizzata da sviluppatori di programmi. Secondo le statistiche raccolte da Dr.Web per Android, il programma di debug Android Debug Bridge è attivato sull'8% dei dispositivi protetti dal nostro antivirus. In quanto tale impostazione può rappresentare un potenziale rischio, uno specifico componente Dr.Web – Auditor di sicurezza – avvisa l'utente del programma di debug attivato e gli suggerisce di bloccarlo.

Gli specialisti Doctor Web raccomandano a tutti i proprietari di dispositivi Android di controllare nel sistema operativo la presenza di impostazioni potenzialmente pericolose. Per tale scopo sul nostro sito o nella directory ufficiale Google Play è possibile acquistare Dr.Web Security Space per Android in cui è incluso Auditor di sicurezza. Se sul dispositivo è attivato, ma non è utilizzato il debug via USB, è consigliabile interrompere questa funzione. Il trojan Android.CoinMine.15 viene rilevato e rimosso con successo dai programmi antivirus Dr.Web per Android, perciò non rappresenta alcun rischio per i nostri utenti.

Informazioni sul trojan

#Android #mining #criptovalute