Miles de smartphones afectados por un gusano para Android

  • Vulnerabilidades

El gusano ADB.Miner explota una vulnerabilidad en la interfaz ADB que no ha sido parcheada. Una vez que el dispositivo está infectado es utilizado para extraer monedas XMR, e intenta buscar otros puertos TCP 5555 abiertos para que el gusano pueda seguir propagándose.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Un usuario externo desconocido accede a Internet desde su propio smartphone, pero con derechos de root como administrador. Lo que parece un escenario complejo y presumiblemente imposible se vuelve fácil para los ciberatacantes a través de una vulnerabilidad de Android. Debido a que el puerto TCP 5555 se ha abierto a través de la interfaz de Android Debug Bridge (ADB), pueden conectarse al dispositivo, señalan los expertos de G DATA.

Se puede llevar a cabo una amplia gama de actividades en los dispositivos a través de ADB, desde simplemente leer la información del dispositivo hasta el robo de datos confidenciales y la instalación de malware. "ADB es utilizado por los desarrolladores de software para tener acceso directo al dispositivo para que puedan llevar a cabo diagnósticos o instalaciones posteriores", explica Alexander Burris, investigador principal de movilidad en G DATA. Esta interfaz normalmente está deshabilitada por defecto. "Sin embargo, algunos proveedores asiáticos aparentemente han descuidado este aspecto antes de vender los dispositivos a los consumidores", añade Burris.

Los expertos de G DATA también han detectado primer gusano de Android que explota la interfaz abierta de ADB, llamado ADB.Miner. Aparece una consulta de depuración de USB si intenta conectarse al smartphone. Si el usuario da a Aceptar cuando sucede esto, el dispositivo móvil se infecta posteriormente. El gusano rastrea Internet para puertos TCP 5555 abiertos y de esta forma desarrolla una red zombi de criptomonedas.

El dispositivo comprometido es utilizado para extraer monedas XMR. Una vez que el dispositivo está infectado, intenta buscar otros puertos TCP 5555 abiertos para que el gusano pueda seguir propagándose. "Esto implica, implícitamente, que cuantos más smartphones Android estén infectados, más rápido se puede propagar el gusano", apunta Burris. "Para los usuarios, esto significa un rendimiento técnico extremadamente limitado y una vida útil de la batería muy corta. Como los teléfonos no están diseñados para una carga permanente como esta, puede dañar el dispositivo a medio plazo".

"Con la mayoría de los dispositivos Android, es muy fácil cerrar la vulnerabilidad. Los propietarios de dicho teléfono deberían buscar las opciones de desarrollador en la configuración y deshabilitarlas", aconseja Burris como solución al problema. En general, los usuarios deben echar un vistazo rápido a la configuración para verificar que la opción de desarrollador aún no esté activada.