Dos bandas de botnets están luchando para tomar el control de tantos dispositivos Android no seguros como pueden para usar sus recursos y minar la criptomoneda a espaldas de los propietarios.
La guerra terrestre entre estas dos redes de bots, una llamada Fbot y la otra Trinity, ha estado en marcha durante al menos un mes si queremos combinar las diversas pistas de los informes publicados por diferentes empresas de seguridad cibernética.
Ambos están en competencia directa y persiguen los mismos objetivos, a saber, los dispositivos Android en los que los proveedores o propietarios han dejado el puerto de diagnóstico expuesto en línea.
Este puerto es 5555, y aloja una característica estándar de Android llamada Android Debug Bridge (ADB). Todos los dispositivos Android lo soportan, pero la mayoría viene deshabilitado.
Pero mientras ADB está deshabilitado en cientos de millones de dispositivos, hay decenas de miles donde esta función se ha dejado habilitada, ya sea por accidente durante el proceso de ensamblaje y prueba del dispositivo o por el usuario después de usar el ADB para depurar o personalizar su teléfono.
Para empeorar las cosas, en su configuración predeterminada, la interfaz ADB tampoco usa una contraseña. Una vez que el puerto ADB está habilitado y el dispositivo está conectado a Internet, la función ADB actúa como una puerta trasera permanente y abierta a los dispositivos vulnerables.
Según una búsqueda de Shodan , la cantidad de dispositivos Android con un puerto ADB expuesto en línea varía entre 30,000 y 35,000 por día.
Los ciberdelincuentes también han notado estos dispositivos. En febrero de este año, una red de bots basada en una variedad de malware conocida como ADB.Miner había infectado cerca de 7,500 dispositivos, la mayoría de los cuales eran televisores inteligentes con Android y cajas de TV.
El equipo de ADB.Miner extrajo la criptomoneda, y al final, obtuvo una buena ganancia. Pero esta variedad de malware evolucionó con el tiempo y luego se transformó en una nueva botnet llamada Trinity, también conocida como com.ufo.miner, después del nombre de su proceso.
La botnet fue vista por Qihoo 360 Netlab en septiembre y todavía iba fuerte en octubre cuando los investigadores de Ixia también la vieron en línea.
Al igual que su anterior encarnación ADB.Miner, la botnet Trinity ha continuado confiando en la interfaz ADB expuesta para acceder a los dispositivos, plantar su malware criptográfico y luego usar el dispositivo infectado para propagarse a nuevas víctimas.
Sin embargo, el éxito de ADB.Miner y Trinity también ha atraído nuevos contendientes en la escena. También a partir de septiembre, también se observó una botnet diferente en busca de dispositivos con un puerto ADB expuesto en línea. Esta segunda botnet, llamada Fbot, aún no se ha visto en criptomoneda minera.
Por no decirlo, Fbot, que los investigadores dicen que comparte código con el malware Satori IoT DDoS, solo se ha centrado en la propagación a la mayor cantidad de dispositivos posible y la expulsión permanente de Trinity de los dispositivos infectados. Verás, Fbot contiene un código especial que busca específicamente el nombre de archivo de Trinity (com.ufo.miner) y lo elimina.
Si bien su propósito sigue siendo un misterio y puede tomar algún tiempo antes de que Fbot sea tan grande como Trinty, está claro que los propietarios de dispositivos Android deben tomar nota de esta tendencia de malware y asegurarse de que su dispositivo no esté exponiendo el puerto ADB en línea.
Este tutorial ayudará a los propietarios de dispositivos a deshabilitar el servicio ADB, que también se conoce como «Depuración USB» en los menús de configuración de muchos dispositivos Android.
En junio , el experto en informática Kevin Beaumont había sugerido que las compañías de telecomunicaciones móviles podrían hacer un favor a todos al bloquear el tráfico entrante en sus redes que apuntaban al puerto 5555, lo que haría inútiles las exploraciones de puertos abiertos de ADB, bloqueando efectivamente cualquier intento de explotación.
Fuente: Zdnet.com
