Request Support  | Contact Sales

Diventa Autore per CoreTech | Scopri di più





Circa l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo miner

09/02/18 coretech News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Alcuni giorni fa nel blog di un'azienda cinese che lavora nel campo della sicurezza delle informazioni è stata segnalata la diffusione del trojan Android.CoinMine.15, anche conosciuto come ADB.miner. Secondo i dati dei ricercatori cinesi, nel periodo attivo il trojan si diffondeva molto velocemente: il numero di dispositivi infettati si raddoppiava ogni giorno. Gli specialisti Doctor Web suppongono che la maggior parte dei dispositivi infettati siano le smart TV in quanto proprio esse, di regola, hanno una connessione permanente a Internet tramite ADB.

Questo trojan Android, studiato per l'estrazione della criptovaluta Monero, è in grado di infettare altri dispositivi senza la partecipazione dell'utente. Il programma malevolo Android.CoinMine.15 infetta i dispositivi Android con la porta 5555 aperta, che viene utilizzata dall'interfaccia del programma di debug Android Debug Bridge (ADB). Possono essere infettati non solo televisori "intelligenti", ma anche smartphone, tablet, set-top box, router, lettori multimediali e ricevitori – cioè, i dispositivi che utilizzano il debug via rete. Un altro dispositivo potenzialmente vulnerabile è il single-board computer Raspberry Pi 3 con l'SO Android installato.

La diffusione del trojan avviene nel seguente modo. Da un altro dispositivo infetto sul nodo attaccato vengono installati l'applicazione droidbot.apk, nonché i file con i nomi nohup, sss e bot.dat. Quindi il file sss si esegue tramite l'utility nohup e durante il funzionamento diventa daemon. In seguito esso estrae da bot.dat gli altri componenti del trojan, tra cui un file di configurazione in formato JSON, le applicazioni miner (per le versioni a 32 e 64 bit del sistema operativo) e un esemplare del programma trojan droidbot. Dopo l'avvio droidbot in un ciclo continuo genera un indirizzo IP in modo casuale e cerca di connettersi alla porta 5555. In caso di successo il trojan tenta di infettare il dispositivo rilevato utilizzando l'interfaccia del programma di debug ADB. In un thread separato Android.CoinMine.15 avvia un'applicazione miner studiata per estrarre la criptovaluta Monero (XMR). L'infezione da tali programmi malevoli può portare a una significativa diminuzione delle prestazioni del dispositivo, al riscaldamento del dispositivo, e inoltre a un rapido consumo della risorsa della batteria.

Nell'SO Android il programma di debug ADB è disattivato di default, però alcuni produttori lo lasciano attivato. Inoltre, l'ADB, per qualche motivo, può essere attivato dall'utente — il più spesso la modalità di debug viene utilizzata da sviluppatori di programmi. Secondo le statistiche raccolte da Dr.Web per Android, il programma di debug Android Debug Bridge è attivato sull'8% dei dispositivi protetti dal nostro antivirus. In quanto tale impostazione può rappresentare un potenziale rischio, uno specifico componente Dr.Web – Auditor di sicurezza – avvisa l'utente del programma di debug attivato e gli suggerisce di bloccarlo.


Gli specialisti Doctor Web raccomandano a tutti i proprietari di dispositivi Android di controllare nel sistema operativo la presenza di impostazioni potenzialmente pericolose. Il trojan Android.CoinMine.15 viene rilevato e rimosso con successo dai programmi antivirus Dr.Web per Android, perciò non rappresenta alcun rischio per i nostri utenti.

Banner


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web