Compartilhe este artigo
TrendMicro detecta malware de mineração de Cripto afetando dispositivos Android
O botnet entra pela porta do Android Debug Bridge e se espalha via SSH.
Por Daniel Kuhn
Uma nova botnet de mineração de criptomoedas foi detectada explorando portas do Android Debug Bridge, um sistema projetado para resolver defeitos de aplicativos instalados na maioria dos telefones e tablets Android.
O malware botnet, conforme relatado pela Trend Micro, foi detectado em 21 países e é mais prevalente na Coreia do Sul.
A História Continua abaixo
Não perca outra história.Inscreva-se na Newsletter Crypto Daybook Americas hoje. Ver Todas as Newsletters
O ataque tira vantagem da maneira como portas ADB abertas T exigem autenticação por padrão e, uma vez instaladas, é projetada para se espalhar para qualquer sistema que tenha compartilhado uma conexão SSH anteriormente. As conexões SSH conectam uma ampla gama de dispositivos – tudo, desde dispositivos móveis até gadgets da Internet das Coisas (IoT) – o que significa que muitos produtos são suscetíveis.
"Ser um dispositivo conhecido significa que os dois sistemas podem se comunicar sem nenhuma autenticação adicional após a troca de chaves inicial, cada sistema considera o outro como seguro", dizem os pesquisadores. "A presença de um mecanismo de disseminação pode significar que esse malware pode abusar do processo amplamente usado de fazer conexões SSH."
Começa com um endereço IP.
45[.]67[.]14[.]179 chega através do ADB e usa o shell de comando para atualizar o diretório de trabalho para "/data/local/tmp", já que os arquivos .tmp geralmente têm permissão padrão para executar comandos.
Depois que o bot determina que entrou em um honeypot, ele usa o comando wget para baixar a carga útil de três mineradores diferentes e curl se o wget não estiver presente no sistema infectado.
O malware determina qual minerador é mais adequado para explorar a vítima, dependendo do fabricante do sistema, arquitetura, tipo de processador e hardware.
Um comando adicional, chmod 777 a.sh, é então executado para alterar as configurações de permissão do drop malicioso. Finalmente, o bot se esconde do host usando outro comando, rm -rf a.sh*, para excluir o arquivo baixado. Isso também esconde o rastro de onde o bug se originou, à medida que ele se espalha para outras vítimas.
Os pesquisadores examinaram o script invasor e determinaram que os três mineradores potenciais que podem ser usados no ataque – todos entregues pela mesma URL – são:
http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash
Eles também descobriram que o script melhora a memória do host ao habilitar HugePages, que habilita páginas de memória maiores que seu tamanho padrão, para otimizar a saída de mineração.
Se já forem encontrados mineradores usando o sistema, a botnet tenta invalidar a URL deles e matá-los alterando o código do host.
Drops perniciosos e maliciosos de criptomineração estão continuamente desenvolvendo novas maneiras de explorar suas vítimas. No verão passado, a Trend Micro observou outra exploração de ADB que eles apelidaram de Satoshi Variant.
Outlaw, foi flagrado nas últimas semanas espalhando outra variante de mineração de Monero pela China por meio de ataques de força bruta contra servidores. Na época, os pesquisadores T haviam determinado se a botnet havia iniciado as operações de mineração, mas encontraram um APK Android no script, indicando que dispositivos Android podem ser alvos.
Imagem via Shutterstock.
Mehr für Sie
Was Sie wissen sollten:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Mehr für Sie
A Profunda Correção do Bitcoin Prepara o Cenário para a Retomada em Dezembro, Diz K33 Research
A K33 Research afirma que o medo no mercado está superando os fundamentos à medida que o bitcoin se aproxima de níveis-chave. Dezembro pode oferecer um ponto de entrada para investidores ousados.
Was Sie wissen sollten:
- A K33 Research afirma que a forte correção do bitcoin mostra sinais de fundo, com dezembro podendo marcar um ponto de inflexão.
- A empresa argumentou que o mercado está reagindo em excesso aos riscos de longo prazo, enquanto ignora sinais de força no curto prazo, como baixa alavancagem e níveis sólidos de suporte.
- Com prováveis mudanças na política à frente e um posicionamento cauteloso em futuros, a K33 vê mais potencial de alta do que risco de outro colapso significativo.
Principais Histórias
