Dispositivos da Amazon Fire TV e Fire Stick foram atingidos por malware de mineração de criptomoedas

Recentemente um novo código malicioso apelidado de ADB.Miner (Android.CoinMine.15) apareceu direcionado para os dispositivos baseados am Android Amazon Fire TV e Fire Stick.

O código malicioso está ativo pelo menos desde fevereiro quando pesquisadores da NetLab da Qihoo 360 detectaram a botnet de mineração Android que é direcionada para dispositivos Android procurando por uma interface aberta de depuração ADB ( porta 5555 ) e infecta-os com um minerador de criptomoedas Monero.

A porta 5555 é a interface de depuração do Android que deve ser encerrada por padrão e os dispositivos infectados pelo ADB.miner são dispositivos em que os usuários e fornecedores não tiveram o cuidado de fechar.

Os dispositivos que estejam com esta porta aberta na internet podem ser infectados pelo ADB.Miner e, portanto, não é surpresa que tantos estejam com este problema já que nem fabricantes nem usuários tem este tipo de preocupação.

O relatos referentes a Amazon Fire TV apareceram nos fóruns do XDA dizendo que estes media players foram infectados pelo malware.

“Oi pessoal ! Eu tenho uma pergunta que eu espero que alguém possa me ajudar. Em tenho um Gen 2 FireStick e por 2 dias este aplicativo chamado “teste” continua aparecendo em diversos momentos e eu não tenho idéia porque está fazendo isto. Eu desinstalei o aplicativo e ele volta e eu mesmo tentei rodar o aplicativo e ele me diz que o aplicativo precisa ser atualizado para rodar no meu dispositivo, procurar por uma versão atualizada na minha loja … e sim, o app não existe na loja … o que há com isso ?”, escreveu um dos donos da Amazon Fire TV.

Uma vez que o malware tenha infectado o dispositivo ele abusará dos recursos para minerar a criptomoeda e interromper o recurso de reprodução de vídeo.

Os dispositivos infectados exibem o logotipo oficial do Android e uma mensagem que diz “Teste”.

“Os dispositivos infectados ficam muito lentos para serem usados. O carregamento de aplicativos levará mais tempo do que o normal. Isso ocorre porque o malware está utilizando 100% do processador do dispositivo para minerar a criptomoeda.
Uma tela que diz “Teste” com um ícone verde do robô Android também aparecerá ocasionalmente em dispositivos infectados.
Essa tela faz com que a reprodução de vídeo e os aplicativos parem abruptamente tornando o dispositivo difícil de usar normalmente”, afirma uma análise no Aftvnews.com.

 

A engenharia reversa do código no código deste aplicativo de teste e os especialistas descobriram que é uma variação do ADB.miner que abre uma única página HTML, contendo o script CoinHive no Android WebView para minerar Monero. Abaixo o código do aplicativo.

Os dispositivos Amazon Fire TV que possuem opções de desenvolvedor desativadas não podem ser infectados pelo ADB.Miner.

Nos dispositivos já infectados é possível instalar o aplicativo Total Commander que irá remover o ADB.Miner.

Para descobrir se seu dispositivo está infectado :

  1. Instale o Total Commander da Amazon Appstore no seu dispositivo Fire TV.
  2. Inicie o Total Commander e selecione o item de menu “Installed Apps”.
  3. Se você vir um aplicativo chamado “Teste” instalado no seu dispositivo, ele estará infectado.

Outra maneira de remover o código malicioso é forçar uma redefinição de fábrica do dispositivo mas se você não quiser voltar o dispositivo a configuração de fábrica instale uma versão modificada do aplicativo mal-intencionado.

“Se você não quiser redefinir voltar o dispositivo a configuraçao original ou se o malware continuar aparecendo porque sua Fire TV está sendo reinfectada você pode tentar instalar uma versão modificada do malware que não minera a criptomoeda.
Um usuário XDA com o nome innovaciones criou uma versão modificada do malware,que, quando instalado atualiza o malware para uma versão que basicamente desligado minerador.”, conclui o aftvnews.com .

“Você pode obter o APK modificado desta postagem do XDA ou da URL curta http://bit.ly/testappfix“.

 

Via Security Affairs

loading...