Ormen spreder sig imellem Android TV- og mobilenheder, som er forbundet til internettet, via ADB (Android Debug Bridge). ADB skal aktiveres manuelt, men Doublepulsar påviser, at visse enheder sendes i handlen med ADB aktiveret fra start.

Ormen spreder malware til kryptovaluta
Den ondsindede malware spreder sig fra enhed til enhed via internettet, som orme imellem rødderne på et stort træ. Den er skabt med det formål at mine kryptovaluta – altså lave de beregninger, som gør, at en ejer kan indsamle mere af den virtuelle valuta.

Når ormen er installeret på en enhed, søger den automatisk på internettets TCP-port 5555, hvorfra der kan forbindes til flere Android-enheder, som har ADB (Android Debug Bridge) aktiveret. ADB er indbygget i alle Android-enheder for at udviklere kan få fjernadgang til enheden. Det skal som udgangspunkt aktiveres manuelt.

Visse brugere, som indlæser apps uden om Google Play-butikken (såkaldt sideload af apps), vælger at aktivere ADB manuelt. Ormen spreder sig desuden via apps til at se piratkopierede film, lyder det. Skaberen af app’en får formentlig penge for at hjælpe med at sprede ormen.

Annonce:

Foruden Android-mobilenheder, er ormen fundet i enheder baseret på Android TV-styresystemet. Det oplyses ikke, hvilke enheder, der specifikt er tale om. 

- ”Da vi undersøgte sagen i forbindelse med denne artikel, kunne vi lokalisere (vha. ADB, red) alt fra tankskibe i USA til optagerbokse i Hong Kong til mobiltelefoner i Sydkorea. Et andet eksempel er, at et specifikt Android TV er sendt på markedet i denne tilstand,” skriver Kevin Beaumont fra siden Doublepulsar.

Mediet AFTVNews, som beskæftiger sig med Amazons FireTV-bokse, bekræfter, at ormen desuden inficerer FireTV og FireTV Stick. Det skyldes, at Amazons FireTV-styresystem er baseret på Android.



Er du ramt?
Risikoen for at blive inficeret er relativt lille, med mindre ADB er aktiveret på din enhed eller at du har indlæst apps til piratkopierede film udenom Google Play. Symptomer på en inficeret enhed er, at den kører markant langsommere end normalt idet processen til at mine kryptovaluta optager processorkraft.

App’en kalder sig på FireTV-enheder ”Test” og gemmer sig under processen ”com.google.time.timer”. Det står ikke klart, hvad den hedder på Android TV. Det er muligt at komme af med malwaren ved at slette processen plus tilknyttede filer eller ved at fabriksindstille enheden og sørge for at ADB er deaktiveret. 

ADB.Miner, som ormen er blevet opkaldt, blev først observeret den 31. januar 2018 og spredte sig indenfor det første døgn til over 5000 enheder. Ormen har sidenhen spredt sig hurtigt på tværs af landegrænser og Android-baserede enheder.

- Kilde: Doublepulsar, AFTVNews