Nieuwe Android-malware verspreidt zich razendsnel

Er is een nieuw botnet ontdekt, dat dit weekend al duizenden Android-apparaten geïnfecteerd heeft. De schade zou behoorlijk groot zijn en mogelijk groeit het aantal apparaten dat onderdeel uitmaakt van het botnet de komende tijd nog flink. De apparaten in het netwerk worden ingezet voor het minen van virtuele valuta.

De malware was eerder nog niet gedetecteerd en vereist weinig interactie van de gebruiker om verspreid te worden. Onderzoekers van de Chinese beveiligingsfirma Netlab schrijven dat vandaag in een blogpost over de malware.

Snelle verspreiding

Zodra een Android-apparaat geïnfecteerd is, worden er andere apparaten binnen een netwerk gescand die internetpoort 5555 open hebben. Die is normaliter gesloten, maar de ontwikkelaarstool Android Debug Bridge opent dat om een reeks diagnostische tests uit te voeren. Dankzij die opening vinden er snel nieuwe infecties plaats.

Binnen de eerste vierentwintig uur waarin Netlab ontdekte dat het botnet actief was, werden er al 2.750 unieke IP-adressen gedetecteerd binnen het netwerk. Op basis daarvan concluderen de onderzoekers dat de malware extreem snel werkt. “We denken dat deze worm al meer dan 5.000 apparaten geïnfecteerd heeft in de afgelopen vierentwintig uur,” schrijven de onderzoekers. “De geïnfecteerde apparaten proberen actief de malware te verspreiden.”

Niet heel rap

Zodra een apparaat geïnfecteerd is door de malware, wordt er een app op geïnstalleerd. Die app zorgt ervoor dat de apparaten de digitale munt Monero gaan minen. Wat het precieze effect hiervan is, weten we nog niet, maar in het verleden was het wel eens zo dat Monero-mining apps zo agressief werkten dat Android-apparaten fysiek beschadigd werden. Heel rap gaat het minen overigens niet. Er zou tot nu toe zo’n 0.0171757089 XMR gemined zijn, wat zo’n 3 dollar waard is.