09 Marzo 2018
Aggiornamento del 7 febbraio 2018:
Il malware ADB.miner ha raggiunto il picco di 7.000 indirizzi IP attivi infettati, salvo poi stabilizzarsi su questa cifra. Ciò riguarda principalmente smartphone e TV Box Android con l'interfaccia ADB abilitata. I ricercatori del Netlab hanno escluso la possibilità che l'Android Debug Bridge possa essere stato attivato da remoto, una informazione molto importante per proteggersi da eventuali attacchi futuri.
Le aree geografiche principalmente colpite rimangono la Corea del Sud e la Cina ma anche l'Italia risulta essere tra le nazioni interessate. Per ricevere informazioni più dettagliate vi invitiamo a consultare il report pubblicato sul blog di Netlab.
Articolo originale del 6 febbraio 2018
Una botnet particolarmente aggressiva potrebbe aver infettato oltre 5.000 dispositivi Android, principalmente smartphone e smart TV, e li starebbe utilizzando per minare la criptovaluta Monero (XMR).
Questo malware ha caratteristiche simili ad un worm, quindi è capate di diffondersi potenzialmente anche senza alcuna interazione dell'utente. I device violati avrebbero tutti la porta 5555 aperta, quella relativa allo strumento per sviluppatori ADB (Android Debug Bridge), normalmente chiusa di default, utilizzata per effettuare diversi test diagnostici sui dispositivi.
Secondo quanto riportato dai ricercatori del Netlab, i primi attacchi risalgono al 31 gennaio 2017 ma il picco sarebbe avvenuto nei giorni scorsi, infettando oltre 5.000 prodotti con sistema operativo Android, principalmente localizzati in Cina (40%) e Corea del Sud (30%).
Sfruttando parte del codice derivato dal malware Mirai, questa rete botnet sfrutta l'hardware interno agli smartphone, smart TV, ecc per effettuare mining di XMR, una pratica che potrebbe anche danneggiare fisicamente i device coinvolti, vista l'elevata energia richiesta per portare a compimento le operazioni.
Il report completo, raggiungibile cliccando qui, offre maggiori dettagli a riguardo che potrebbero essere utili qualora voleste approfondire l'argomento. Vi terremo aggiornati nel caso in cui dovessero esserci nuovi sviluppi importanti.
Commenti
Io credo che gli ultimi aggiornamenti di patch di sicurezza abbiano sballato qualche valore...
E lavorandoci, fare "reset di sistema" ogni volta non è il top...
it's android
Sulla USB non c'è nessuna porta 5555....
Google, Samsung, sony, hmd, i vari Android one
ci sono quelli che invece reggono benissimo testa, senza fare alcun nome, tanto sappiamo bene quali sono i brand che aggiornano con costanza i propri dispositivi, e quelli che invece si dimenticano anche di averli prodotti).
vogliamo i nomi XD
Banale vittimismo. Me lo aspetterei da utenti meno "borderline" rispetto a te.
Dall'articolo la frase "I device violati avrebbero tutti la porta 5555 aperta, quella relativa allo strumento per sviluppatori ADB (Android Debug Bridge), normalmente chiusa di default, utilizzata per effettuare diversi test diagnostici sui dispositivi." sicuramente non specifica quale porta viene violata. Così uno capisce che anche con la più comune modalità USB, si è vulnerabili
Allora sicuramente non l'ho fatto, non l'ho ancora mai collegato al PC. Grazie.
patch mensile cit. (6 gravi vulnerabilità questo mese) e nessuno ne ha parlato dato che non si tratta di iOS o macOS
Come vuoi. Il prossimo sarà settimanale? Sempre quello giusto per il tuo mulino.
no, mi basta il changelog mensile delle vulnerabilità risolte nei due sistemi
non è preinstallato.
con "non si può installare" intendevo che i produttori non ti possono dare il telefono con le gapps, poi non so esattamente se i cinesi che vivono in cina possono o meno installarlo post vendita
Devo dissentire, e tu in primis sai bene il perché.
farebbe come windows, aggiornerebbe lei stessa sempre e comunque
Caspita, devi proprio intendertene di informatica tu. Se questo commento riflette quello che hai capito da sto articolo, non mi stupisco tu abbia un iPhone.
no cosa...
e di nuovo. se epple rilasciasse ios ad altri produttori nel solito modo di android, cosa succederebbe? Te vuoi avere ragione per forza anche quando dici minchi@te. Mi rendo conto che tanto quello che pensi te e' giusto e gli altri si devono adeguare. Bah
la modalità sviluppatore non ti espone. per esporti devi abilitare manualmente (tramite adb da pc) adb tcpip
Le tv manco le consideravo. Le app tipiche usate su una TV sono netflix e youtube. La vedo dura che uno riesca ad attivare la porta 555 senza volerlo o altro sulla TV.
Se è un PlRLA che la attiva volontariamente sono fatti suoi.
Allora non hai questo problema.
L'attacco funziona solo se la modalità debug è attiva su rete. Tu ha solo attivato la modalità col cavo usb
Ho solo attivato la modalità sviluppatore per provare a forzare lo spostamento delle app su scheda SD, ma poi non si riusciva ad attivare questa funzione. C'è il tasto per attivarla ma poi cliccando non si attivava. E poi non ho toccato nient'altro.
Io non so se ho la porta aperta, controllerò con questo metodo. Semplicemente ho attivato la modalità sviluppatore e poi non sapevo come toglierla, e l'ho lasciato così.
Quelli della fibra sono ottimi, ci vuole un mese per trtrova la pass con pc accacc
I modem da 200 euro sono difficili da hackerare
Che commento da ragazzino di 18anni1 ..
No
minchìa detto niente 5000 cosi che ti minano a gratis
oppure si è impallato il play service :D
non si può installare o non è installato di default? ad esempio sul mio zuk z2 con rom stock zui posso installare playstore, playservice e cose varie da apk e funziona
in cina non funzionerebbe comunque?
Scusa se ti chiedo, ma ho appena visto che la 55555 risulta aperta sul mio dispositivo e non ho idea di come chiuderla.
Dando "adb USB" adb riparte giustamente in modalità usb, ma la porta è ancora aperta
Botnèttesé
Cosa?
In effetti controllo il box tv con Android (appeso dietro la tv) se scalda
Si vede
Giusto un po’
Sempre meglio
google rilascia in 1 mese 2-3 level patch.
solitamente ci sono semèpre le patch del 1 del mese e del 5.. a volte rilasciano patch extra.
e comunque mi fai ridere... stai nuovamente parlando di dispositivi e non di OS
Potrei parlare anche solo di OS
Basta vedere quante patch di sicurezza ci sono al mese su iPhone X e su Pixel 2 XL
Al 99% è un router della fastweb/tiscali con filtro attivo
PS: filtered vuol dire che nmap non riesce a determinare se la porta è aperta o chiusa, probabilmente hai un firewall (o software o hardware) o qualche regola nel router che impedisce la scansione.
comunque se quell'indirizzo non è il tuo dispositivo android, stai tranquillo
gli ip .66, .173 hanno la porta chiusa.
l'IP .254 invece ce l'ha filtrata, ma non mi sembra sia un dispositivo android.
il tuo smartphone è collegato al wifi vero?? volendo puoi fare la scansione su quello specifico indirizzo (non so se è tra questi)
No.
A parte che si parla di dispositivi android (e tu non mi sembra ne abbia nella rete), come vedi la porta interessata è chiusa sui pc e filtrata sul router (?) (dsldevice. lan)
Se quel dlsdevice è un router magari ha attivo il filtro dei pacchetti, in pratica non ti dice ne se è aperta, ne se è chiusa. Ma non essendo android...
Mi devo preoccupare?
https://uploads.disquscdn.c...
PS comunque penso che 5555 rientri tra le 1000 più comuni, alla fine è pur sempre una porta standard.
tra le 1000 verranno escluse tutte quelle decine di migliaia di porte che non sono standard, tipo che ne so la porta 31000, o la porta 44444 ovvero porte che non riguardano nessuno standard ma eventualmente sei tu che le utilizzi per uno scopo specifico.
però si a questo punto per sicurezza tanto vale fare una scansioen accurata
Bravo! Così orgoglioso ti voglio! Magari fossero tutti così, qua.
Oh ma che ca**o di nome è maxim?
Sveglia siamo in italia, modifica subito il nome in massimo e non provare mai piú a contaminare la nostra lingua nazionale
ahh ok, be allora per sicurezza basta aggiungere il -p 5555 e sei tranquillo
appunto...
tu prima dici.. IOS è più sicuro di Android, poi dici, Iphone è più aggiornato del dispositivo XXX prodotto dall'azienda YYY.
non ha senso.
se parli di OS devi confrontare solo gli OS, se parli di dispositivi allora ha senso quello che dici te (ma comuqnue non vale per tutti, visto che ad esempio i pixel di google sono sempre aggiornati ogni mese, gli xperia di sony pure, anche samsung aggiorna, gli android one pure hanno frequenti update delle patch, idem anche HMD).
Senza "-p" so che scansione solo le 1000 più conosciute (mo sarebbe da capire se vero e la 5555 è tra le sue "conosciute".
Solo per questo correggevo con l'opzione "-p"
nmap fa una scansione di tutte le porte e ti elenca tutte le porte aperte trovate
ad esempio ecco parte dell'output del comando sulla mia rete LAN
questa è la stampante
con l'opzione -p invece fai la ricerca mirata su quella specifica porta.
insomma vanno bene entrambi.
-p è specifico per quella porta, se invece non metti nessuna opzione fa una scansioen generica delle porte