Um ataque persistente contra dispositivos Android está em ascensão e ganhando força com os criminosos que fazem esse tipo de coisa

Invasores que segmentam dispositivos IoT baseados em Android com ataques automatizados e com script tentam entregar um objeto estranho não identificado em sintonizadores de TV, players de mídia em streaming, NAS (network-attached storage) ou outro dispositivo sempre conectado permanentemente conectado em eletrodomésticos. A carga útil desses ataques é um pequeno aplicativo de mineração com criptomoedas projetado para aproveitar o fato de que esses dispositivos raramente são monitorados e sempre (ou geralmente) ligados e conectados à Internet.

Os ataques visam a porta de rede usada por padrão (5555 / tcp) pelo Android Debug Bridge (ADB), um componente do Android que fornece uma interface para controlar ou gerenciar um telefone ou outro dispositivo. Todos os dispositivos Android podem ser configurados para aceitar comandos do ADB, embora eles geralmente exigem que o usuário se conecte diretamente ao dispositivo usando um cabo USB e habilite as configurações criadas para desenvolvedores de software.

No entanto, se um dispositivo de IoT que executa o Android estiver vulnerável a uma ou mais explorações de execução remota de código e puder ser acessado pela Internet, todas as apostas serão desativadas. Conseguimos coletar várias amostras diferentes desse aplicativo cryptominer malicioso, que se chama UFO Miner, executando um honeypot que simula um dispositivo Android vulnerável e escuta (e aceita) conexões de qualquer lugar. Os invasores alcançaram o honeypot a partir de endereços IP que geolocalizam para Hong Kong e outros locais na China, Coréia do Sul, Taiwan, Rússia, Ucrânia e Irã, bem como nos Estados Unidos, Canadá, Reino Unido e Suécia.

Em comparação com o volume de outros tipos de ataques automatizados que visam a infraestrutura de rede, o UFO Miner parece irrisório em comparação. Em um período típico de 10 dias, podemos receber cerca de 1.000 a 1200 conexões de entrada para o ouvinte ADB do honeypot, enquanto outros honeypots, sintonizados para observar ataques contra diferentes serviços, recebem centenas de milhares de tentativas de invasão. Mas o pequeno número de ataques não significa que o UFO Miner é inofensivo, não importa em que o Agente Mulder possa acreditar.

O que há lá fora?

O aplicativo UFO Miner é sem cabeça, o que significa que não tem interface de usuário. Quando ele é instalado, não há um ícone “UFO Miner” que aparece na bandeja de apps. O único sinal de que está sendo executado é que o processador do sistema pode aquecer rapidamente, o que aconteceu exatamente quando rodamos o UFO Miner em um dispositivo virtual Android (AVD), uma ferramenta de desenvolvimento que permite aos programadores de aplicativos testar seus aplicativos em um simulador. , software Android “telefone” em computadores desktop ou laptop.

Estes dois comandos são usados ​​para instalar remotamente e depois ativar o UFO Miner

Quando executamos o comando que os distribuidores do UFO Miner estavam usando para lançar o aplicativo, ele localizou o processador em nosso laptop de teste que estava executando o AVD. Executar o comando “top” no telefone revelou que esse visitante indesejado estava consumindo 99% dos recursos de processamento no AVD – tanto que fez com que os ventiladores de resfriamento (cooler) do laptop em que ele estava rodando, girassem a toda velocidade.

Uma lista dos processos em execução neste AVD, com o UFO Miner no topo

Se um dispositivo físico real que executa o malware (como um NAS) tem ventiladores de resfriamento, isso pode acionar os ventiladores, mas, caso contrário, o usuário não deve ver nenhum sinal externo de que o dispositivo esteja fazendo algo fora do comum. Se fosse para entrar em seu telefone – um cenário muito menos provável – você pode notar o telefone superaquecendo rapidamente, se estivesse em um bolso ou em sua mão.

Na verdade, quando separamos o aplicativo, verifica-se que ele é o mais rudimentar possível. O aplicativo tem uma única função: ele usa o navegador da Web do Android – uma versão integrada do Chrome projetada para ser executada em outros aplicativos – para carregar um único script na linguagem JavaScript do Coinhive em uma página da Web incorporada ao aplicativo, chamada run.html .

Todo o propósito deste aplicativo é carregar esta linha de Javascript

Os seguidores astutos da tendência de “mineração de criptomoeda maliciosa” lembrarão que o Coinhive é o serviço que permite a qualquer pessoa incorporar seu minerador de Javascript em qualquer página da Web. Alguns indivíduos inescrupulosos estão invadindo sites que pertencem a outras pessoas para incorporar esse script nessas páginas. O efeito é um aumento imediato nas demandas do navegador sobre o processador, o que aquece o computador que pertence a qualquer pessoa que visita a página da Web, enquanto a página da Web estiver carregada.

O script Coinhive permite que os usuários “acelerem” ou reduzem a carga da CPU, exige o script de mineração. O criador do app “UFO Miner” ajustou o acelerador em 80%. Infelizmente, o dispositivo virtual Android que testamos não obedeceu ao comando de limitação e foi executado a todo vapor no teste.

Dispositivos que rodam nessas velocidades por um longo período de tempo podem falhar em uma taxa maior do que a média e consumir mais energia, que a vítima é forçada a subsidiar.

Acreditamos que

O UFO Miner é apenas um dos vários aplicativos maliciosos que foram escolhidos pelo honeypot, mas até agora tem sido o mais prolífico. Parece que as gangues incomodativas que operam redes de bots IoT (como a Mirai) se juntaram lentamente ao movimento ADB. Desde o início de 2019, observamos que vários grupos diferentes tentam usar as mesmas explorações de execução remota de código usadas pelo UFO Miner para fornecer scripts de shell do Linux ao honeypot.

Um grupo de malware concorrente está jogando um jogo de “capturar a bandeira” com a multidão do UFO Miner. A “bandeira” é o seu dispositivo Android.

Esses scripts shell fazem o perfil da arquitetura do processador do dispositivo e, em seguida, baixam um bot, na forma de um aplicativo ELF do Linux, projetado para ser executado nessa arquitetura. Essas gangues de bots parecem estar cientes da natureza prolífica do aplicativo UFO Miner, porque os scripts contêm comandos shell para desinstalar o UFO Miner, assim como bots entregues por gangues de botnet concorrentes.

Como o Android continua a permear o mercado de IoT, esperamos ver mais ataques desse tipo visando a plataforma.

O que você pode fazer se for afetado?

O aplicativo UFO Miner não apresenta um ícone no menu de aplicativos, mas você ainda pode “Forçar” o aplicativo e desinstalá-lo. Em Configurações, clique em Aplicativos e role para baixo na lista de aplicativos instalados para encontrar um chamado “Teste”. O aplicativo deve ser pequeno, com no máximo 200 kb. Clique em Forçar parada (que deve fazer com que o processador diminua imediatamente) e, em seguida, desinstale para se livrar dele. Nós testamos isso e parece funcionar bem, embora os desenvolvedores possam decidir alterar o nome do aplicativo a qualquer momento.

O UFO Miner aparece na lista Configurações -> Aplicativos sob o nome “Teste”

Como todos os aplicativos não-firmware no Android, você também pode remover o UFO Miner executando uma redefinição de fábrica do dispositivo. Claro, isso não impedirá a repetição das etapas que resultaram no aparecimento de malware no dispositivo. Para fazer isso, você precisaria colocar o dispositivo dentro de uma rede na qual o dispositivo não pode ser acessado do mundo externo. Não defina buracos de mapa no firewall para o seu descodificador.

Se você estiver em uma rede corporativa, considere o bloqueio do acesso ao domínio coinhive.com e a qualquer um de seus subdomínios, como é óbvio. Isso deve evitar vários outros problemas relacionados.