E' stato individuato un nuovo malware per Android del quale merita scrivere, al di là del livello reale di diffusione, poiché apre una stagione del tutto nuova per il cyber crimine: ADB.miner infatti è il primo worm per Android. Ed è già una minaccia da non sottovalutare: sono centinaia gli smartphone colpiti da questo worm e l'analisi telemetrica dei dati sta dimostrando un preoccupante trend di crescita del numero e della frequenza degli smartphone infetti.
La particolarità di ADB.miner è che non necessita ne dell'installazione di alcuna app ne di alcun sistema di ingegneria sociale per truffare la vittima: un attacco da remoto senza alcuna partecipazione della vittima è sufficiente per infettare il dispositivo.
Come funziona
ADB.miner è uno di quei tantissimi e variegati tipi di miner di criptovaluta finalizzati ad ottenere l'accesso ai dispositivi per sfruttarne il potenziale di calcolo al fine di "estrarre" criptovaluta. Il nome di questo malware viene da Android Debug Bridge (ADB appunto), un sistema di debugging per i dispositivi che usano il sistema operativo Android. ADB solitamente è usato per eseguire analisi collegando il dispositivi direttamente al computer, ma il sistema prevede anche al possibilità di collegarsi in remoto usando la porta TCP 5555. Questa debolezza non era così grave fino a pochissimo tempo fa, dato che ADB solitamente è disattivato di default: adesso però alcuni produttori hanno cominciato a distribuire modelli con il sistema ADB abilitato di default. Cosa che ovviamente espone a rischio attacchi da remoto il dispositivo stesso e i dati sensibili: qualora un attaccante riuscisse ad accedere al dispositivo tramite l'Android Debug Bridge avrebbe acceso a informazioni sensibili e la possibilità, ottenendo i privilegi di root, di eseguire svariate funzioni dannose e installare ulteriori malware.
I primi attacchi di questo tipo si sono registrati in Asia e hanno tutti condotto all'installazione di ADB.miner. Da qui in poi l'infezione però si è diffusa non più in maniera concentrata nella zona geografica, ma ha prodotto una diffusione globale.
Il meccanismo worm
Analisi più approfondite hanno dimostrato come ADB.miner sia molto molto simile ad un classico worm per pc. Una volta installato sui dispositivi infatti. ADb.miner avvia una scansione in rete alla ricerca di altri dispositivi con la porta TCP 5555 accessibile e usa la stessa tecnica per tentarne la compromissione.
Questo worm prende di mira le porte TCP 5555 |
Come verificare la presenza di ADB.miner?
I ricercatori consigliano di suggerire la seguente procedura per individuare la presenza di questo worm:
- scaricare ADB per Windows (il click al link avvia il download di un .zip)
- estrarre il contenuto dell'archivio sul computer;
- su Windows 10, aprire la cartella, fare clic col tasto destro tenendo premuto il maiuscolo, quindi scegliere la voce Apri Finestra PowerShell qui dal menù;
- collegare il dispositivo Android via USB;
- nel caso in cui ADB sia attivo sul dispositivo, si aprirà una finestra sullo smartphone. Il caso contrario indicherà invece che ADB è disabilitato.
- se la finestra si apre, digitare .\adb shell pm list packages com.android.good.miner;
- se il dispositivo non è infetto sullo schermo non comparirà alcun messaggio, altrimenti visualizzerete la stringa package: com.android.good.miner.
Come risolvere l'infezione di ADB.miner?
Nel caso la verifica sopra indicata mostrasse uno stato di infezione del dispositiv, molti ricercatori consigliano un metodo di risoluzione che ci limitiamo a riportare. Nel pannello sviluppatori inserire il seguente comando:
- \adb shell pm list packages uninstall com.android.good.miner;
- cancellate quindi i file temporanea. Questo passaggio è molto importante, altrimenti il worm verrà automaticamente reinstallato. Per fare ciò digitare i seguenti comandi:
.\adb shell
cd /data/local/tmp/
rm *
exit - disabilitate quindi l'opzione Modalità Sviluppatore, salvo necessità.
Nessun commento:
Posta un commento