De acordo com o último comunicado da TrendMicro, empresa de segurança cibernética, os hackers agora estão orquestrando ataques de cryptojacking em dispositivos Android, semeando o malware de botnets de mineração nos sistemas por meio de portas Android Debug Bridge (ADB) abertas.
Segundo os pesquisadores, a ausência de qualquer forma de mecanismo de autenticação nas portas ADB abertas por padrão torna mais fácil para os atores desonestos plantar o malware malicioso e espalhá-lo rapidamente do host infectado para qualquer sistema que tenha se conectado anteriormente com o host por meio do SSH.
Especificamente, os pesquisadores revelaram que os ataques envolvendo o malware foram descobertos em 21 países diferentes, incluindo a Coréia do Sul, que tem a maior porcentagem.
Segundo consta, os hackers conectam sua botnet a um dispositivo em execução no ADB via endereço IP, 45 [.] 67 [.] 14 [.] 179. Em seguida, ele vai em frente para alterar o diretório de trabalho do sistema para “/ data / local / tmp”, usando o shell de comando do ADB, pois os arquivos .tmp geralmente têm permissão para serem executados por padrão.
Depois disso, o botnet tenta descobrir se o seu host é um honeypot ou não, usando o comando “uname -a”, antes de baixar a carga de malware de mineração de criptomoeda correspondente usando wget ou curl, se o primeiro não estiver disponível no sistema infectado.
Para alterar as configurações de permissão do dispositivo para permitir que a carga baixada seja executada automaticamente, o bot emite o comando “chmod 777 a.sh”.
Uma vez que o comando a.sh tenha sido executado com sucesso no sistema da vítima, o bot usa o comando “rm -rf a.sh *” para remover seus traços. Isso não é tudo, para garantir que suas atividades permaneçam despercebidas pelo host, o malware de botnet exclui todos os arquivos baixados e arquivos de carga útil depois que ele deve se propagar em outros dispositivos conectados ao sistema infectado.