Un gusano de red ha aparecido en los dispositivos Android que explotan la función Android Debug Bridge (ADB) del sistema operativo móvil, una función que los fabricantes de teléfonos habilitan por defecto.
El investigador de seguridad Kevin Beaumont reveló este problema en una publicación de blog que afirma que ADB no está autenticado por completo y que miles de dispositivos Android conectados a Internet están siendo explotados actualmente a través de esta vulnerabilidad.
¿Cómo se lleva a cabo la explotación?
Los fabricantes de hardware envían sus productos con Android Debug Bridge habilitado, y el servicio escucha el puerto TCP 5555 a través del cual cualquier persona puede conectarse a un dispositivo a través de Internet.
“Sin embargo, para habilitarlo, en teoría, tiene que conectarse físicamente a un dispositivo usando USB y primero habilitar Debug Bridge”, dice Kevin.
Dado que ADB es una utilidad de solución de problemas, permite a un usuario acceder a varias herramientas sensibles, incluido un shell Unix. Aprovechando esta característica, un minero de criptomonedas llamado ADB.Miner se propagó a varios dispositivos en febrero. Podría escanear en busca de nuevos dispositivos para infectar utilizando el puerto 5555.
Los riesgos en juego
Según Kevin, hay miles de dispositivos basados en Android todavía expuestos en línea. Cualquier persona conectada a un dispositivo que ejecute ADB puede ejecutar comandos de forma remota.
“Esto es muy problemático ya que permite a cualquier persona, sin contraseña, acceder de forma remota a estos dispositivos como ‘raíz’ – el modo de administrador – y luego instalar silenciosamente el software y ejecutar funciones maliciosas”.
ADB.Miner está todavía está activo
El gusano ADB.Miner que fue detectado por primera vez en febrero por Qihoo 360 Netlab está muy vivo, y la actividad de escaneo en el puerto 5555 aún no se ha detenido. Millones de escaneos han sido registrados en el último mes.
“Utilizando datos de Netlab de Qihoo 360, que presenta extractos de datos de Netflow en proveedores de servicios de Internet y proveedores de tránsito, podemos ver enormes cantidades de tráfico en el puerto 5555 llegando en vivo”, agregó Kevin.
