Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

ADB.miner colpisce 7000 device Android utilizzati per il mining di Monero

07 Febbraio 2018 185

Aggiornamento del 7 febbraio 2018:

Il malware ADB.miner ha raggiunto il picco di 7.000 indirizzi IP attivi infettati, salvo poi stabilizzarsi su questa cifra. Ciò riguarda principalmente smartphone e TV Box Android con l'interfaccia ADB abilitata. I ricercatori del Netlab hanno escluso la possibilità che l'Android Debug Bridge possa essere stato attivato da remoto, una informazione molto importante per proteggersi da eventuali attacchi futuri.

Le aree geografiche principalmente colpite rimangono la Corea del Sud e la Cina ma anche l'Italia risulta essere tra le nazioni interessate. Per ricevere informazioni più dettagliate vi invitiamo a consultare il report pubblicato sul blog di Netlab.

Aree geografiche in cui sono presenti device Android Infetti

Articolo originale del 6 febbraio 2018

Una botnet particolarmente aggressiva potrebbe aver infettato oltre 5.000 dispositivi Android, principalmente smartphone e smart TV, e li starebbe utilizzando per minare la criptovaluta Monero (XMR).

Questo malware ha caratteristiche simili ad un worm, quindi è capate di diffondersi potenzialmente anche senza alcuna interazione dell'utente. I device violati avrebbero tutti la porta 5555 aperta, quella relativa allo strumento per sviluppatori ADB (Android Debug Bridge), normalmente chiusa di default, utilizzata per effettuare diversi test diagnostici sui dispositivi.

Secondo quanto riportato dai ricercatori del Netlab, i primi attacchi risalgono al 31 gennaio 2017 ma il picco sarebbe avvenuto nei giorni scorsi, infettando oltre 5.000 prodotti con sistema operativo Android, principalmente localizzati in Cina (40%) e Corea del Sud (30%).

Sfruttando parte del codice derivato dal malware Mirai, questa rete botnet sfrutta l'hardware interno agli smartphone, smart TV, ecc per effettuare mining di XMR, una pratica che potrebbe anche danneggiare fisicamente i device coinvolti, vista l'elevata energia richiesta per portare a compimento le operazioni.

Il report completo, raggiungibile cliccando qui, offre maggiori dettagli a riguardo che potrebbero essere utili qualora voleste approfondire l'argomento. Vi terremo aggiornati nel caso in cui dovessero esserci nuovi sviluppi importanti.


185

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Logan

Io credo che gli ultimi aggiornamenti di patch di sicurezza abbiano sballato qualche valore...
E lavorandoci, fare "reset di sistema" ogni volta non è il top...

N#R#S©

it's android

stiga holmen

Sulla USB non c'è nessuna porta 5555....

Dea1993

Google, Samsung, sony, hmd, i vari Android one

Conan5

ci sono quelli che invece reggono benissimo testa, senza fare alcun nome, tanto sappiamo bene quali sono i brand che aggiornano con costanza i propri dispositivi, e quelli che invece si dimenticano anche di averli prodotti).

vogliamo i nomi XD

tuamadre

Banale vittimismo. Me lo aspetterei da utenti meno "borderline" rispetto a te.

Andria Caccamo

Dall'articolo la frase "I device violati avrebbero tutti la porta 5555 aperta, quella relativa allo strumento per sviluppatori ADB (Android Debug Bridge), normalmente chiusa di default, utilizzata per effettuare diversi test diagnostici sui dispositivi." sicuramente non specifica quale porta viene violata. Così uno capisce che anche con la più comune modalità USB, si è vulnerabili

Body123

Allora sicuramente non l'ho fatto, non l'ho ancora mai collegato al PC. Grazie.

CAIO METAL

patch mensile cit. (6 gravi vulnerabilità questo mese) e nessuno ne ha parlato dato che non si tratta di iOS o macOS

tuamadre

Come vuoi. Il prossimo sarà settimanale? Sempre quello giusto per il tuo mulino.

CAIO METAL

no, mi basta il changelog mensile delle vulnerabilità risolte nei due sistemi

Dea1993

non è preinstallato.
con "non si può installare" intendevo che i produttori non ti possono dare il telefono con le gapps, poi non so esattamente se i cinesi che vivono in cina possono o meno installarlo post vendita

tuamadre

Devo dissentire, e tu in primis sai bene il perché.

CAIO METAL

farebbe come windows, aggiornerebbe lei stessa sempre e comunque

tuamadre

Caspita, devi proprio intendertene di informatica tu. Se questo commento riflette quello che hai capito da sto articolo, non mi stupisco tu abbia un iPhone.

Dea1993

no cosa...

Davide Italiani

e di nuovo. se epple rilasciasse ios ad altri produttori nel solito modo di android, cosa succederebbe? Te vuoi avere ragione per forza anche quando dici minchi@te. Mi rendo conto che tanto quello che pensi te e' giusto e gli altri si devono adeguare. Bah

Dea1993

la modalità sviluppatore non ti espone. per esporti devi abilitare manualmente (tramite adb da pc) adb tcpip

Rocco

Le tv manco le consideravo. Le app tipiche usate su una TV sono netflix e youtube. La vedo dura che uno riesca ad attivare la porta 555 senza volerlo o altro sulla TV.

Se è un PlRLA che la attiva volontariamente sono fatti suoi.

stiga holmen

Allora non hai questo problema.

L'attacco funziona solo se la modalità debug è attiva su rete. Tu ha solo attivato la modalità col cavo usb

Body123

Ho solo attivato la modalità sviluppatore per provare a forzare lo spostamento delle app su scheda SD, ma poi non si riusciva ad attivare questa funzione. C'è il tasto per attivarla ma poi cliccando non si attivava. E poi non ho toccato nient'altro.

Body123

Io non so se ho la porta aperta, controllerò con questo metodo. Semplicemente ho attivato la modalità sviluppatore e poi non sapevo come toglierla, e l'ho lasciato così.

Mr. Romeo

Quelli della fibra sono ottimi, ci vuole un mese per trtrova la pass con pc accacc

Mr. Romeo

I modem da 200 euro sono difficili da hackerare

Mr. Romeo

Che commento da ragazzino di 18anni1 ..

CAIO METAL

No

ZeroSen

minchìa detto niente 5000 cosi che ti minano a gratis

ZeroSen

oppure si è impallato il play service :D

ZeroSen

non si può installare o non è installato di default? ad esempio sul mio zuk z2 con rom stock zui posso installare playstore, playservice e cose varie da apk e funziona
in cina non funzionerebbe comunque?

Los Endos

Scusa se ti chiedo, ma ho appena visto che la 55555 risulta aperta sul mio dispositivo e non ho idea di come chiuderla.
Dando "adb USB" adb riparte giustamente in modalità usb, ma la porta è ancora aperta

Leslieeeeee

Botnèttesé

M3r71n0

Cosa?

Leslieeeeee

In effetti controllo il box tv con Android (appeso dietro la tv) se scalda

Leslieeeeee

Si vede

Leslieeeeee

Giusto un po’

Leslieeeeee

Sempre meglio

Dea1993

google rilascia in 1 mese 2-3 level patch.
solitamente ci sono semèpre le patch del 1 del mese e del 5.. a volte rilasciano patch extra.
e comunque mi fai ridere... stai nuovamente parlando di dispositivi e non di OS

CAIO METAL

Potrei parlare anche solo di OS
Basta vedere quante patch di sicurezza ci sono al mese su iPhone X e su Pixel 2 XL

M3r71n0

Al 99% è un router della fastweb/tiscali con filtro attivo

Dea1993

PS: filtered vuol dire che nmap non riesce a determinare se la porta è aperta o chiusa, probabilmente hai un firewall (o software o hardware) o qualche regola nel router che impedisce la scansione.
comunque se quell'indirizzo non è il tuo dispositivo android, stai tranquillo

Dea1993

gli ip .66, .173 hanno la porta chiusa.
l'IP .254 invece ce l'ha filtrata, ma non mi sembra sia un dispositivo android.
il tuo smartphone è collegato al wifi vero?? volendo puoi fare la scansione su quello specifico indirizzo (non so se è tra questi)

M3r71n0

No.
A parte che si parla di dispositivi android (e tu non mi sembra ne abbia nella rete), come vedi la porta interessata è chiusa sui pc e filtrata sul router (?) (dsldevice. lan)
Se quel dlsdevice è un router magari ha attivo il filtro dei pacchetti, in pratica non ti dice ne se è aperta, ne se è chiusa. Ma non essendo android...

Stefano

Mi devo preoccupare?
https://uploads.disquscdn.c...

Dea1993

PS comunque penso che 5555 rientri tra le 1000 più comuni, alla fine è pur sempre una porta standard.
tra le 1000 verranno escluse tutte quelle decine di migliaia di porte che non sono standard, tipo che ne so la porta 31000, o la porta 44444 ovvero porte che non riguardano nessuno standard ma eventualmente sei tu che le utilizzi per uno scopo specifico.
però si a questo punto per sicurezza tanto vale fare una scansioen accurata

Maxim Castelli

Bravo! Così orgoglioso ti voglio! Magari fossero tutti così, qua.

Los Endos

Oh ma che ca**o di nome è maxim?
Sveglia siamo in italia, modifica subito il nome in massimo e non provare mai piú a contaminare la nostra lingua nazionale

Dea1993

ahh ok, be allora per sicurezza basta aggiungere il -p 5555 e sei tranquillo

Dea1993

appunto...
tu prima dici.. IOS è più sicuro di Android, poi dici, Iphone è più aggiornato del dispositivo XXX prodotto dall'azienda YYY.
non ha senso.
se parli di OS devi confrontare solo gli OS, se parli di dispositivi allora ha senso quello che dici te (ma comuqnue non vale per tutti, visto che ad esempio i pixel di google sono sempre aggiornati ogni mese, gli xperia di sony pure, anche samsung aggiorna, gli android one pure hanno frequenti update delle patch, idem anche HMD).

M3r71n0

Senza "-p" so che scansione solo le 1000 più conosciute (mo sarebbe da capire se vero e la 5555 è tra le sue "conosciute".
Solo per questo correggevo con l'opzione "-p"

Dea1993

nmap fa una scansione di tutte le porte e ti elenca tutte le porte aperte trovate

ad esempio ecco parte dell'output del comando sulla mia rete LAN

nmap 10.80.80.0/24


questa è la stampante

Nmap scan report for 10.80.80.4
Host is up (0.020s latency).
Not shown: 989 closed ports
PORT STATE SERVICE
80/tcp open http
6839/tcp open unknown
7435/tcp open unknown
8080/tcp open http-proxy
9100/tcp open jetdirect
9101/tcp open jetdirect
9102/tcp open jetdirect
9110/tcp open unknown
9220/tcp open unknown
9290/tcp open unknown
9500/tcp open ismserver


con l'opzione -p invece fai la ricerca mirata su quella specifica porta.
insomma vanno bene entrambi.
-p è specifico per quella porta, se invece non metti nessuna opzione fa una scansioen generica delle porte

Recensione Xiaomi 14 Ultra, è LO smartphone per fare foto!

Recensione Asus Zenfone 11 (Ultra): tutto nuovo ma sa di déjà vu

Recensione Realme 12 Pro Plus 5G: il cameraphone a 400 euro

Recensione OnePlus Watch 2: sfida a Samsung con Wear OS e un'ottima batteria