Nuevamente el fenómeno de la minería de criptomonedas es noticia, esta vez, se trata de una código maligno que desde una bonet de minado hace infecciones. No existe gran novedad, la diferencia es la vertiente que utiliza para su propagación este fenómeno.
Recientemente se descubrió una botnet destinada al minado de criptomonedas que basa su infección en la herramienta ADB (Android Debug Bridge).
Según el estudio publicado, el malware que ha registrado actividad en 21 países con un foco principal de infección en Corea del Sur, se conectaba a la dirección IP 45.67.14.179, donde se encontraban los componentes necesarios para la la infección, minado y proliferación de la amenaza.
Una vez se ha llevado a cabo la infección en el dispositivo, el malware cambia el directorio del sistema a un directorio que, presumiblemente, le dote de mayores permisos “/data/local/tmp”.
Una vez ubicado en un path del sistema que le dote de mayores niveles de permisos, el sistema lleva a cabo técnicas de ‘fingerprinting’ sobre el dispositivo, para determinar si el dispositivo es válido o no para el siguiente paso.
Por último descarga el ‘script’ o ‘payload’ le asigna permisos, lo ejecuta y lo borra del sistema.
En el código se puede observar como en función del sistema huésped descargará un código para llevar a cabo la minería u otro.
Adicionalmente lleva a cabo técnicas para mejorar la eficiencia, como es cambiar el tamaño de página en memoria con el comando: “/sbin/sysctl -w vm.nr_hugepages=128”.
Por último el malware intenta llevar a cabo la propagación mediante el protocolo SSH. Cabe destacar que en algunos casos existen claves almacenadas que permiten la autenticación en otros sistemas sin llevar a cabo el uso de diccionarios ni fuerza bruta.
Fuente: Unaaldia