Crypto jacking prin intermediul dispozitivelor Android

2019/03/18
Popularitate 981

Foto: ZDNET

Malware-ul Trinity, identificat la începutul anului 2018, continuă și în acest an infectarea și utilizarea puterii de calcul a dispozitivelor Android pentru  minarea criptomonedelor. CERT-RO a identificat, prin intermediul surselor proprii, un număr considerabil de asemenea atacuri în România, asupra dispozitivelor Android vulnerabile.

DESCRIERE

Dispozitivele devin vulnerabile la acest tip de atac atunci când interfața Android Debug Bridge (ADB) este accesibilă din internet. Pentru ca ADB să poată fi accesat, este necesar ca portul 5555 să fie deschis pe respectivul dispozitiv. Android Debug Bridge este o aplicație în linie de comandă tip Unix care permite rularea de comenzi pe dispozitiv, aceasta fiind folosită de producătorii de dispozitive, precum și de dezvoltatorii de aplicații.

Modalitățile prin care portul 5555 poate rămâne deschis și accesibil sunt fie prin intermediul unei erori de fabricație a producătorului, fie prin utilizarea dispozitivului la dezvoltarea de aplicații. De menționat că această vulnerabilitate poate fi exploatată pe toate dispozitivele Android, inclusiv Smart TV-uri, dispozitive de streaming video, etc. 

Mecanismul de infectare începe cu o scanare a rețelei pentru identificarea acelor dispozitive care au portul 5555 deschis. Fiind conceput ca un protocol pentru dezvoltatori, pentru conectarea la interfața ADB nu sunt necesare credențiale de autentificare, astfel că, după identificarea unui dispozitiv cu portul 5555 deschis, malware-ul poate realiza conexiunea cu respectivul device.

IMPACT

După conectare, bot-ul verifică dacă componenta de mining a acestuia este prezentă pe respectivul dispozitiv (dintr-o infectare anterioară). Dacă această componentă există pe dispozitiv, dar nu rulează, bot-ul va porni acest proces denumit com.ufo.miner/com.example.test.MainActivity

Dacă dispozitivul nu are acest proces activ, atunci acesta este descărcat pe dispozitiv. Odată cu fișierul ufo.apk sunt descărcate bot-ul Trinity și executabilul nohup.

În cazul în care serviciul Trinity aferent bot-ului nu este activ, acesta este rulat prin intermediul nohup, astfel încât să ruleze și după deconectarea sesiunii ADB. Este necesar ca bot-ul trinity să rămână activ după terminarea sesiunii, pentru a putea identifica și infecta alte dispozitive, deoarece se presupune că acest bot nu are la bază un server de comandă și control, distribuindu-se de la gazdă la gazdă asemenea unui sistem P2P (Peer to Peer).

Componenta de mining conține un fișier html simplu care încarcă fișierul JavaScript pentru mining coinhive.min.js de pe site-ul coinhive.com. Acesta mai conține identificatorul contului Monero la care se vor transmite creditele. Procesul de minare este configurat astfel încât să poată porni la fiecare repornire a dispozitivului.

REMEDIERE

Cea mai eficientă metodă de prevenție a acestui tip de atac este, desigur, blocarea portului 5555, în cazul în care acesta este deschis, sau elimarea port-forwarding, astfel încât acest port să nu fie vizibil din internet.

Un articol [1] în care este analizat în detaliu mecanismul de funcționare a fost scris de către Gabriel Cîrlig, cel care a identificat prima oară acest tip de malware.

[1] - Trinity - P2P Malware Over ADB - https://www.ixiacom.com/company/blog/trinity-p2p-malware-over-adb


Vizualizat de 891 ori