von Robert Klatt •
Eine neue Malware infizierte zahlreiche Android-Geräte um die Kryptowährung Monero zu minen. Erstmalig wurden dafür sogar Fernseher angegriffen.
Der chinesische Sicherheitsanbieter 360.Netlab warnt vor einer neuen Malware die Android-Geräte infiziert, um deren Rechenleistung zum Minen von Monero zu missbrauchen. Die Sicherheitsforscher berichten von der schnellen Verbreitung. Wenige Tage nachdem sie die Malware erstmalig entdeckt haben, waren bereits einige Tausend Geräte betroffen. Eine Analyse ergab, dass der Schädling starke Ähnlichkeit zu einem Wurm hat. Zur Verbreitung nutzt er unteranderem das ADB-Debug-Interface und den Port 5555.
Eigentlich ist der Port 5555 geschlossen, bei den infizierten Geräten war er jedoch größtenteils geöffnet, da Entwickler diesen Port nutzen um mit dem ADB-Debug-Tool Systemdiagnosen auszuführen. Sobald die Malware ein Gerät infiziert hat, nutzt sie die Internetverbindung um nach weiteren Geräten mit geöffneten Port 5555 zu suchen und sich so zu verbreiten. Besonders betroffen sind Android-basierte Smartphones, Tablets oder Smart-TV sowie Set-Top-Boxen, bei denen der betroffene Port häufig nicht geschlossen ist. Es ist möglich, dass die Hintermänner von ADB.Miner eine Möglichkeit nutzen, um den Port auf den Geräten aus der Ferne zu öffnen. Dem Team von 360.Netlab ist bisher aber nicht gelungen, herauszufinden wie dies genau geschieht.
Leider nennt der Sicherheitsanbieter keine Gerätenamen oder Hersteller die von der Malware infiziert wurden. Die ersten Infektionen wurden am 31. Januar gemeldet. Nach nur 24 Stunden registrierte das Unternehmen bereits mehr als 5000 infizierte Geräte. Besonders betroffen waren Südkorea und China. Die rasche Verbreitung hat inzwischen etwas nachgelassen und die Anzahl der kompromittierten Geräte liegt bei konstant etwa 7000.
Um Nachahmer davon abzuhalten ein weitaus größeres Botnetz zu erschaffen, veröffentlicht der Sicherheitsanbieter keine detaillierten Informationen zum ausgenutzten Bug. Es ist lediglich bekannt, dass die Malware Teile des Codes des gigantischen IoT-Botnetz Mirai verwendet. Mirai hat jedoch keine Kryptowährungen erzeugt, sondern war für die bisher größten DDoS-Attacken verantwortlich, die im vergangenen Jahr sogar Amazon und Netflix vom Netz nahmen.
Um für die Hintermänner Gewinne zu erwirtschaften, enthält die Malware eine Mining-Software die Monero erwirtschaftet. ADB.Miner arbeitet für zwei Mining-Pools, die vermutlich aber den selben Personen gehören. Beide Mining-Pools haben dieselbe Wallet-Adresse.
Im Vergleich zu DDoS-Attacken oder Verschlüsselungstrojaners nehmen „leise“ Methoden bei den Kriminellen immer mehr an Bedeutung zu. Betroffene merken so deutlich langsamer oder gar nicht, dass die Opfer eines Angriffs wurden und die einmal infizierten Systeme können von den Kriminellen wesentlich länger für ihre Zwecke wie beispielsweise dem Minen von unterschiedlichen Kryptowährungen genutzt werden. Die Malware Satori.Coin.Robber agiert ähnlich. Sie scannt das Internet noch offenen Port 3333 und verbreitet sich so. Dann schürft sie nach der Kryptowährung Ethereum. Auch Satori basiert auf Code des Mirai-Bots.