Mii de smartphone-uri din întreaga lume sunt afectate de un vierme de Android. Acest lucru se datorează unei breşe de securitate cauzată de o interfață de depanare uitată. Vulnerabilitatea nu este încă rezolvată. G DATA explică pericolul și arată modul în care utilizatorii pot verifica dacă dispozitivul mobil este afectat și, dacă este, cum poate fi închisă breşa de securitate.
O terță parte necunoscută accesează propriile noastre smartphone-uri prin Internet, cu drepturi depline de administrator. Ceea ce se poate interpreta ca un caz complicat și imposibil de imaginat devine un simplu joc pentru atacatorii cibernetici datorită unei breşe de securitate din sistemul de operare Android. Datorită portului TCP 5555 deschis, atacatorii se pot conecta la dispozitiv prin intermediul interfeței de debug Android (ADB pe scurt). ADB poate fi utilizat pentru a efectua o varietate de acțiuni asupra dispozitivului - de la citirea simplă a informațiilor de pe dispozitiv, la furtul datelor sensibile, până la instalările critice de securitate ale programelor malware. "ADB este de fapt utilizat de dezvoltatorii de software pentru a avea acces direct la dispozitive în scopul de a efectua diagnostice sau post-instalări", spune Alexander Burris, Lead Mobile Researcher la G DATA. Implicit, această interfață este în mod normal dezactivată. "Cu toate acestea, există unii producători, de exemplu, ca în acest caz din Asia, care par să fi eșuat în tentativa de inchidere a interfeței ADB activată înainte de a comercializa produsele către consumatori".
Android worm ADB.Miner exploatează vulnerabilitatea
Primul vierme Android numit ADB.Miner folosește interfața ADB deschisă. Atunci când dorește să se conecteze la un smartphone, o interogare USB de depanare apare. Dacă se da clic pe OK, dispozitivul mobil este infectat. Viermele scanează Internetul pentru porturile TCP 5555 deschise, creând un botnet criptomining. Dispozitivul este astfel compromis și utilizat în mod greșit pentru a mina o monedă virtuală numită "XMR Coin". Dacă dispozitivul este infectat, se caută automat porturi deschise suplimentare, altele decat 5555 TCP, astfel încât viermele să se poată răspândi în continuare. "Cu cât mai multe smartphone-uri Android sunt afectate, cu atât mai repede se poate răspândi viermele", spune Burris. "Pentru utilizatori acest lucru înseamnă o afectare foarte puternică a performanței telefonului, precum și o viață extrem de scurtă a bateriei. Deoarece smartphone-urile nu sunt proiectate pentru o astfel de utilizare permanentă, acest lucru poate duce la deteriorarea dispozitivului pe termen mediu.
Detectarea și închiderea breşelor de securitate
"Pentru majoritatea dispozitivelor Android, vulnerabilitatea este foarte ușor de închis. Proprietarii unui astfel de telefon inteligent ar trebui să caute opțiunile pentru dezvoltatori din setări și să le dezactiveze", a declarat Burris ca o soluție la problemă. Ca utilizator, ar trebui să examinați rapid setările pentru a vă asigura că opțiunea developer nu este activată. Pentru toți utilizatorii care nu sunt siguri dacă viermele este prezent pe telefonul mobil, G DATA recomandă următorii pași:
- Descărcaţi ADB for Windows
- Extrageți conținutul fișierului ZIP într-o locație ușor de memorat - cum ar fi desktopul
- În Windows 10, apăsați Shift + butonul din dreapta al mouse-ului și selectați " Open PowerShell window here". Asigurați-vă că utilizați combinația de taste din dosarul extras anterior.
- Se deschide fereastra dezvoltatorului.
- Conectați smartphone-ul Android la computer prin USB.
- În cazul unei interfețe ADB deschise, pe smartphone se deschide o fereastră. Confirmați aici cu OK. Notă: dacă nu se deschide o astfel de fereastră, opțiunea dezvoltatorului este dezactivată.
- În fereastra dezvoltatorului, executați următoarea comandă:. \ Adb shell list list com.android.good.miner
- Dacă dispozitivul nu este infectat, nu există răspuns în consola pentru dezvoltator. În caz contrar apare următorul mesaj: package: com.android.good.miner.