quinta-feira, 8 de fevereiro de 2018

Cryptomining Software Discovered on Tennessee Hospital’s EMR Server

Por David Bisson em 08/02/2018 no site The Sate of Security




A Tennessee hospital discovered cryptomining software installed on a server that hosts its electronic medical records (EMR) system.
In January 2018, Decatur County General Hospital began notifying patients of a incident involving its electronic medical record systems. Its breach notification letter (PDF) reveals the hospital first learned about the security event from its EMR vendor:
On November 27, 2017, we received a security incident report from our EMR system vendor indicating that unauthorized software had been installed on the server the vendor supports on our behalf. The unauthorized software was installed to generate digital currency, more commonly known as “cryptocurrency.”
Decatur County General Hospital. (Source: Nashville Public Radio)
Decatur County General Hospital subsequently launched its own investigation into the incident. So far, it’s determined that a remote actor likely accessed the server on which its EMR system stores patients information including their names, addresses, dates of birth, Social Security Numbers, insurance details, and medical treatment records. It’s also found that the cryptomining software had been active since at least 22 September 2017.
The hospital’s EMR vendor replaced the server and operating system four days after discovery.
At this time, Decatur County General Hospital cannot confirm whether the individual responsible for the breach accessed patients’ information stored on the server. It tells patients as much:
Again, while our investigation continues into this matter, we have no evidence that your information was actually acquired or viewed by an unauthorized individual, and based upon reports of similar incidents, we do not believe that your health information was targeted by any unauthorized individual installing the software on the server. Our investigation to date, however, has been unable to reasonably verify that there was not unauthorized access of your information.
Cryptomining emerged as a salient threat in 2017. Tools responsible for generating new units of cryptocurrency preyed upon 1.65 million users over the first eight months of the year. Since then, researchers have discovered a single Monero mining campaign that victimized 15 million users in the fall of 2017. Such findings have led some security experts to wonder whether cryptomining will supplant ransomware as the most widespread form of digital crime in 2018.
Given that possibility, it’s important that hospitals and other healthcare organizations maintain the security and integrity of their EMR systems. They can find guidance for that objective here.
To learn more about how Tripwire can protect your healthcare organization against digital threats, click here

Hackers Can Now Steal Data Even From Faraday Cage Air-Gapped Computers




A team of security researchers—which majorly focuses on finding clever ways to get into air-gapped computers by exploiting little-noticed emissions of a computer's components like light, sound and heat—have published another research showcasing that they can steal data not only from an air gap computer but also from a computer inside a Faraday cage.


Air-gapped computers are those that are isolated from the Internet and local networks and so, are believed to be the most secure devices that are difficult to infiltrate.


Whereas, Faraday cages are metallic enclosures that even blocks all electromagnetic signals, such as Wi-Fi, Bluetooth, cellular and other wireless communications, making any device kept inside the cage, even more, isolate from outside networks.

However, Cybersecurity Research Center at Israel's Ben Gurion University, directed by 38-year-old Mordechai Guri, has developed two techniques that helped them exfiltrate data from computers placed inside a Faraday cage.


Dubbed MAGNETO [pdf] and ODINI [pdf], both the techniques make use of proof-of-concept (PoC) malware installed on an air-gapped computer inside the Faraday cage to control the "magnetic fields emanating from the computer by regulating workloads on the CPU cores" and use it to transmit data stealthily.

"Everyone was talking about breaking the air gap to get in, but no one was talking about getting the information out," Guri says. "That opened the gate to all this research, to break the paradigm that there's a hermetic seal around air-gapped networks."
According to the researcher, once a computer (no matter if it is air-gapped or inside a Faraday cage) has been infected, hackers can exfiltrate stolen data without needing to wait for another traditional connection to the infected machine.


How MAGNETO & ODINI Attacks Work:


Once a motivated attacker somehow succeeded in planting malware on an air-gapped computer, the malware then collects small pieces of information, like keylogging data, encryption keys, credential tokens, and passwords.




The PoC malware developed by the team then electrically generates a pattern of magnetic field frequencies by regulating CPU's workload, which can be achieved by overloading the CPU with calculations that increase power consumption and generate a stronger magnetic field.

These electromagnetic (acoustic, optical and thermal) emissions from the infected computer are powerful enough to carry a small stream of stolen data to a nearby device, a receiver planted by the hacker.


The process involves translating data first into binary, i.e. 0 and 1, and the transmitting it into morse-code-like patterns in accordance with electromagnetic emission.

"The transmitting program leaves only a small footprint in the memory, making its presence easier to hide from AVs. At the OS level, the transmitting program requires no special or elevated privileges (e.g., root or admin), and hence can be initiated from an ordinary userspace process," the paper reads.
"The transmitting code mainly consists of basic CPU operations such as busy loops, which do not expose malicious behaviors, making it highly evasive from automated analysis tools."


While both MAGNETO and ODINI attacks are designed to exfiltrate data from a secured computer using electromagnetic emissions, the only difference between the two is:


  • MAGNETO is a short-distance attack where an Android app installed on the attacker's smartphone can receive stolen data with the help of phone's magnetometer— a magnetic sensor that can transmit data even if the smartphone is placed inside a Faraday bag or is set to airplane mode.
  • ODINI attack enables attackers to capture electromagnetic signals from a slightly longer range using a dedicated magnetic sensor.

In case of MAGNETO, the team managed to achieve only up to 5 bits/sec over a distance of up to 12.5 cm (5 inches), while ODINI is quite more efficient with a maximum transfer rate of 40 bits/sec over a range of 100 to 150 cm (3-5 feet).

airgap-computer-hacking
Both ODINI and MAGNETO also work if the targeted air-gapped device is inside a Faraday cage, which is designed to block electromagnetic fields, including Bluetooth, Wi-Fi, cellular, and other wireless communications.


Researchers suggest three different approaches that can be used to prevent attackers from establishing a covert magnetic channel, i.e., shielding, jamming, and zoning.


Video Demonstration of MAGNETO And ODINI Attacks


The team published proof-of-concept video demonstrations for both MAGNETO and ODINI attacks, which shows both the attacks in action.



It's not the first time Ben-Gurion researchers came up with a covert technique to target air-gapped computers. Their previous research of hacking air-gap computers include:


  • aIR-Jumper attack that steals sensitive information from air-gapped computers with the help of infrared-equipped CCTV cameras that are used for night vision.
  • USBee attack that can be used steal data from air-gapped computers using radio frequency transmissions from USB connectors.
  • DiskFiltration attack that can steal data using sound signals emitted from the hard disk drive (HDD) of the targeted air-gapped computer;
  • BitWhisper that relies on heat exchange between two computer systems to stealthily siphon passwords or security keys;
  • AirHopper that turns a computer's video card into an FM transmitter to capture keystrokes;
  • Fansmitter technique that uses noise emitted by a computer fan to transmit data; and
  • GSMem attack that relies on cellular frequencies.

A empresa que transforma o smartphone num 'super GPS’

Geraldo Samor em 08/02/2018 no site Brazil Journal


Uma empresa do Recife desenvolveu uma tecnologia de geolocalização de precisão inédita — com aplicações em marketing, CRM e prevenção de fraude — transformando o smartphone num ‘super GPS’ e aumentando o potencial de monetização para anunciantes.

Usando tecnologias já embarcadas no smartphone, a In Loco, fundada por ex-alunos de ciência da computação da Universidade Federal de Pernambuco, permite conhecer e prever o comportamento dos consumidores com grau de precisão e assertividade inéditos.

Para ganhar capilaridade, a In Loco fez acordos com os aplicativos mais baixados do mercado para embutir sua tecnologia: quando um usuário baixa o app, a In Loco pega carona.

Para entender onde o usuário está, a In Loco usa o wifi e outras tecnologias embarcadas no celular que a maioria dos usuários sequer sabem existir: o acelerômetro (que entende o número de passos que a pessoa deu, o tamanho de cada passo e a direção), o giroscópio (sensor que entende para onde o celular está apontando nas três direções), e o magnetômetro (um subconjunto da bússola).

“Cada local físico tem um conjunto de distorções magnéticas que é único — uma espécie de impressão digital daquele local,” diz André Ferraz, que fundou a In Loco com amigos de faculdade há cinco anos. 

A tecnologia desenvolvida pela In Loco agrega, processa e determina a localização do usuário com uma precisão de dois ou três metros. Para efeito de comparação, trata-se de uma precisão 30 vezes maior que o GPS usado pelo Waze ou pelo Google Maps. Mais: a tecnologia consome 3.000 vezes menos bateria que um GPS tradicional, permitindo que o algoritmo fique rodando non-stop. Ao longo de um dia, a aplicação da In Loco consome 0,5% de uma carga de bateria.

A In Loco está fazendo avanços num terreno que tem sido pedregoso para as maiores companhias do Silicon Valley. 

O Google chegou a ter 150 engenheiros trabalhando para desenvolver uma tecnologia de indoor location, mas o projeto foi descontinuado em 2017. Agora, o Google está investindo em outra tecnologia chamada beacon, que depende da instalação de um dispositivo bluetooth para viabilizar a localização. Há dois problemas: o custo do hardware e o fato de menos de 5% das pessoas com smartphones usarem o bluetooth o tempo todo. Segundo André, para conseguir o mesmo mapeamento (em quilômetros quadrados) que a In Loco tem hoje, a tecnologia beacon demandaria um investimento de US$ 10 bilhões. 

No ano passado, o Facebook abriu uma competição para desenvolvedores de indoor location e teve 6 mil inscritos: o melhor deles obteve 60% da precisão da In Loco. Finalmente, a Apple comprou duas empresas de indoor location technology — uma americana em 2011, e uma israelense em 2014 — mas ainda não lançou nenhum produto.

Hoje, a tecnologia da In Loco está embarcada em 60 milhões de smartphones no Brasil (por meio de mais de 600 apps), mas a ambição da companhia é global. A In Loco já está em 3,5 milhões de smartphones nos EUA, e deve chegar a 10 milhões em março.

Até agora, a In Loco desenvolveu três aplicações para sua tecnologia. A primeira delas, a In Loco Media, permite a anunciantes obter mais assertividade em suas campanhas e já tem clientes como Pizza Hut, Jeep, Coca-Cola, Mondelez e Boticário. A ideia da In Loco é passar a cobrar dos clientes um CPV — custo por visita à loja física — em vez do famigerado CPM (custo por mil) cobrado nas campanhas do Google e Facebook. O cliente só paga à In Loco se o usuário for atraído até sua loja e ficar ali mais de cinco minutos.

“Um cliente nosso comparou o CPV a um contrato de ‘success fee’ em que os dois lados ganham,” diz Adrian Ferguson, que se juntou à In Loco Media no ano passado depois de 27 anos no mercado publicitário.

A segunda aplicação, o Engage, é uma ferramenta de CRM que permite a companhias identificar o contexto ideal para interagir com seus clientes por meio do aplicativo. Por exemplo, a partir dos insights da In Loco, um aplicativo de táxis descobriu que não estava engajando seus clientes em locais como aeroportos e bares. De posse do diagnóstico, o app começou a fazer promoções usando a geolocalização e conseguiu aumentar o número de corridas. O CRM do aplicativo não conseguiria chegar ao mesmo diagnóstico porque a tecnologia da In Loco consegue ‘ver' onde os usuários se encontram mesmo quando eles não estão usando o app.

A terceira aplicação, o In Loco ID, previne fraude a partir do conhecimento dos hábitos do usuário, e já está sendo usado por dois bancos digitais. Como dependem de fotos de documentos para abrir contas, os bancos estão suscetíveis a fraude.

Como quase toda startup, a In Loco já flertou com o desastre. Quando foi fundada em 2013, a companhia levantou recursos junto à Naspers para durar dois anos, mas acabou focando sua tecnologia num produto com uso limitado: serviços de geolocalização, tendo shopping centers como o cliente final. Quando faltavam dois meses para o dinheiro acabar, a In Loco fez o ‘pivot’ que a salvou da extinção: lançou um novo produto, focado em publicidade, que começou a gerar caixa quase imediatamente.

Em 2015, a companhia faturou US$ 1,5 milhão. No ano seguinte, US$ 5 milhões e, ano passado, US$ 12 milhões.

No Carnaval, Ferraz vai para São Francisco conversar com fundos de venture capital para uma nova captação, que deve financiar o crescimento nos EUA. Já disse aos sócios que só volta quando a rodada estiver garantida.

Ele diz ser quase impossível para empresas como Google e Facebook fazer o que a In Loco está fazendo. O motivo: o paradigma de privacidade.

"Todo o modelo de negócios do Google e do Facebook está baseado neles saberem exatamente quem é o usuário deles. Já a nossa tecnologia enxerga padrões mas não enxerga o RG que está lá na ponta. Na medida em que a sociedade aumentar sua demanda por privacidade, eles teriam que abandonar toda a sua base de usuários e começar do zero" para replicar o que a In Loco faz hoje.

O avanço nas tecnologias de geolocalização — assim como a chamada Internet of Things — marcam a transição da computação para um novo estágio chamado ‘Computação Ubíqua’.

Um pesquisador da Xerox PARC, Mark Weiser, propôs o conceito num artigo em 1991. Weiser previu que a computação um dia será, na vida cotidiana, igualzinha à energia elétrica.

Invisível.

terça-feira, 6 de fevereiro de 2018

INTELIGÊNCIA ARTIFICIAL VS APRENDIZAGEM DE MÁQUINA

Por Nuno Miguel Oliveira em 05/02/2018 no site Leak



Inteligência Artificial e a Aprendizagem de Máquina são coisas distintas, com implicações diferentes ao nível do que os computadores conseguem fazer e da forma como interagem connosco.
Os dois termos são muitas vezes confundidos e utilizados incorretamente pelos departamentos de marketing por esse mundo fora, que querem dar um ar mais sofisticado aos seus produtos.

Tudo começa com as Redes Neurais

Aprendizagem de máquina é o paradigma computacional que levou ao crescimento da “Big Data”.
  • O termo Big Data refere-se a um grande conjunto de dados armazenados.
Já a inteligência artificial, é baseada no desenvolvimento de redes neurais e aprendizagem profunda. Geralmente isto é descrito como uma imitação da forma como os humanos aprendem, mas não é bem assim.
Aprendizagem de máquina não é nada mais do que análise estatística e aprendizagem interativa.
  • Input/Output = Entrada/Saída
O problema deste tipo de computação é, tal e qual como na programação tradicional, a dependência de como o programador humano constrói toda esta rede é re-ajustar todo o sistema demoraria demasiadas horas de trabalho humano.
Por isso as redes neurais entraram no mundo da aprendizagem de máquina.

Aprendizagem de Máquina

Ao monitorizar o output/input do sistema e ajustando os factores de importância gradualmente, uma rede pode treinar-se a si própria para melhorar a sua precisão.
Consoante os resultados, a rede irá aprender com os resultados corretos mas também com os erros que comete, tal e qual como um… humano !
O importante aqui é que o algoritmo de aprendizagem de máquina é capaz de aprender e agir sem os programadores terem de especificar toda e qualquer possibilidade daquilo que poderá vir a acontecer.
  • Não é preciso pré-definir todos carros do mundo para o algoritmo perceber o que é um carro.
Treinar uma rede pode ser feito de várias maneiras, mas todas elas envolvem uma abordagem de força brutapara conseguir maximizar a precisão do output.

  • Força Bruta é uma técnica que consiste em enumerar todos os possíveis candidatos a solução para encontrar a verdadeira.
Imaginem um pin de 4 dígitos, esta técnica irá testar todas as combinações desde 0000 até a 9999, para descobrir o pin correcto!

No entanto, mesmo usando Força Bruta, este treino é muito mais eficiente do que programar tudo à mão, permitindo que o algoritmo processe muitos mais dados a uma velocidade significativamente mais alta.
Assim que o treino termine, o algoritmo de aprendizagem de máquina é capaz de ordenar novos inputs através da rede com grande velocidade e precisão em tempo real.
Criando assim uma tecnologia essencial para reconhecimento de voz, processamento de línguas e também projectos científicos.

O que é Inteligência Artificial e o que não é

Inteligência Artificial Aprendizagem Máquina
Aprendizagem de máquina é uma técnica de processamento muito inteligente, mas não possui inteligência real.
Um algoritmo não necessita de perceber o porquê de se auto-corrigir, apenas precisa de perceber como pode ser mais eficiente e preciso no futuro.
Mas assim que um algoritmo tiver aprendido algo, pode ser usado em sistemas que realmente possuam inteligência real.
Uma boa maneira de definir inteligência artificial é a aplicação de aprendizagem de máquina que interaja com humanos ou os imite numa maneira inteligente e convincente.
A Inteligência Artificial pode ser repartida em dois grandes grupos, aplicada e geral.
A aplicada é mais fácil actualmente, temos casos como compra e venda de acções, gestão de tráfego numa cidade ou diagnóstico de pacientes.
Sendo capaz de variadas tarefas, entendendo qualquer conjunto de dados, por isso consegue pensar de maneira mais ampla, como os humanos, com capacidade de aprender “fora da caixa”, ou seja, fora do seu set de conhecimento inicial, levando a um grande crescimento nas capacidades.
As primeiras descobertas de aprendizagem de máquina reflectem ideias de como o cérebro se desenvolve e como as pessoas aprendem.
Aprendizagem de máquina, fazendo parte de um sistema complexo, é essencial para conseguir alcançar software e máquinas capazes de realizar tarefas características e comparáveis à inteligência humana

Agora e o futuro

Inteligência Artificial Aprendizagem Máquina

Porquê que os processadores de smartphones incluem um processador de Inteligência Artificial ?

Se os assistentes virtuais têm sido a tecnologia inovadora nos últimos tempos, então os processadores de IA são certamente o equivalente no lado do hardware.
Apesar de todo marketing e palavras técnicas que as empresas vomitam cá para fora, tanto a aprendizagem de máquina como a inteligência artificial têm aplicações presentes no mercado.
Ainda estamos um pouco longe de viver lado a lado com IA geral, mas se tem experiência com o assistente da Google ou a Siri da Apple, já interagiu com alguma forma de inteligência artificial.
Aprendizagem de máquina usada em processamento de linguagem é uma das chaves para os aparelhos “smart” de hoje em dia.
Se nasceu nos anos 80 ou 90, provavelmente a ideia de Inteligência Artificial ou de Aprendizagem de máquina puxa logo imagens do Arnold Schwarzenegger a dizer “I’ll be back”, mas não se assuste, Hollywood fica longe e o Arnold já está velho.
O exemplo da “Smart Home” é apenas o caso de uso mais recente, aprendizagem de máquina já foi aplicado em várias casos, tal como a Google, que usa para o seu motor de pesquisa, ou o Facebook que também a usa para optimização de publicidade, até o seu banco deve usar para prevenir fraudes.
Existe uma grande diferença entre aprendizagem de máquina e inteligência artificial, apesar de o primeiro ser uma grande componente do segundo.

Itaú inicia uso de blockchain para agilizar operações

Por Computerworld em 05/02/2018




O Itaú Unibanco inicia neste ano o uso de aplicação de blockchain voltada para o controle de margens. Denominada Blockchain Collateral, a iniciativa busca proporcionar mais agilidade, transparência e rastreabilidade no processo de solicitação e aporte de garantias de derivativos de balcão.

Nas chamadas de margem - processos em que o blockchain será testado -, os bancos negociam receber garantias, mitigando riscos de crédito para proteção contra variações desfavoráveis do mercado. O valor a ser aportado é recalculado e confirmado pelas partes periodicamente.

Com blockchain, bancos querem estabelecer um protocolo que trará ganhos de eficiência aos participantes e transparência no processo de auditoria. Com a solução, os participantes da rede podem fazer chamadas de margem entre si de forma padronizada, segura e descentralizada, utilizando a plataforma Corda do consórcio internacional R3. Blockchain: Veja com a SONDA algumas aplicabilidades dessa tecnologia Patrocinado 

O Itaú Unibanco é membro do R3, que, desde abril de 2016, reúne instituições financeiras do mundo todo para o estudo de aplicabilidade da tecnologia blockchain. O desenvolvimento dessa solução foi feito pelo banco e sua coligada Itaú BBA International, tendo sido convidados para participar do projeto no mercado brasileiro os parceiros com os quais o Itaú Unibanco possui contrato de chamada de margem.

Cristiano Cagne, diretor de Operações do Itaú Unibanco, comenta que a empresa está certa de que esta inovação trará ganhos reais de eficiência para o setor como um todo. "Estamos ansiosos para expandir os benefícios que a tecnologia blockchain oferece, este é um início promissor", destaca.

Open-source: 20 anos de história e influência no mercado de tecnologia

PC World - EUA em 06 de Fevereiro de 2018



O software open-source (código aberto) está presente em muitas coisas da sua vida, mesmo que você não perceba. Os fãs das placas Raspberry Pi, por exemplo, se aproveitam do software open-source. Servidores open-source Linux e BSD rodam nossos sites e redes corporativas, assim como unidades de entretenimento de aviões e quiosques de computadores.

E não para por aí. O software open-source está no núcleo dos aparelhos Android. Até mesmo navegadores populares são open-source, incluindo o Firefox, o Opera e o projeto Chromium, que serve como base para o Chrome. Softwares de código aberto como Linux são tão importantes para os desenvolvedores que a Microsoft até o integrou no Windows 10 com o Ubuntu Bash no Windows.

O termo que ajudou a definir todas essas tecnologias nasceu há 20 anos. Já existia a noção de “software livre”, em que os usuários podiam ver o código fonte de um programa, graças aos esforços de Richard Stallman e da Free Software Foundation. Mas em 3 de fevereiro de 1998, os primeiros membros da Open Source Initiative se reuniram para cunhar e adotar o termo “open source”, e a Open Source Definition publicada alguns dias depois ajudou a criar um movimento de massa em torno da noção de expor o código fonte dos softwares.

O criador do Linux, Linus Torvalds, abraçou o termo pouco depois – o trabalho da Linux Foundation gira em torno do código open-source. Com o passar do tempo, o código aberto se expandiu lentamente para também passar a incluir hardware, além do software.

O software open-source é hoje um elemento fundacional do mundo computadorizado graças aos esforços de inúmeras organizações, desenvolvedores independentes e usuários comuns.

Por ocasião do aniversário de 20 anos do open-source, confira abaixo alguns pontos importantes sobre as plataformas de código aberto.

Sistemas operacionais open-source

Quando o assunto são PCs e software open-ource, um grande projeto vem à cabeça: Linux – também conhecido como GNU/Linux. Também existem outros exemplos como o BSD (incluindo FreeBSD e OpenBSD), mas o Linux e as suas diversas distribuições se destacam.

Os sistemas Linux já foram considerados pouco amigáveis a usuários novatos, mas esses dias ficaram para trás há muito tempo. Se você sempre quis testar o Linux, mas nunca soube por onde começar, confira o nosso especial sobre as melhores distribuições para usuários iniciantes.

A maioria começa com o Ubuntu (atualmente na versão 17.10), que conta com uma interface amigável. Mas também há a Debian, em que o Ubuntu é baseado, e dezenas de outras opções. E se você quiser testar algo mais recente, a System76, uma fabricante de hardware com foco em Linux, apresentou recentemente uma distribuição chamada Pop! OS.

Software open-source

O software open-source evoluiu ao ponto de que existe um substituto viável para quase tudo que você usa, incluindo navegadores, pacotes de produtividade, clientes de e-mail, players de mídia e muito mais. Outro produto open-source intrigante é o Syncthing, um serviço de sincronização na nuvem que você controla.

É possível até mesmo rodar software que não é open-source dentro de aplicativos open-source. Por exemplo, é possível rodar o Windows em uma máquina virtual no Linux – uma boa opção para quem precisa utilizar determinados aplicativos Windows, mas não quer rodar o sistema da Microsoft o tempo todo.

Rodar games em uma máquina virtual não é a melhor das experiências, mas vale lembrar que cada vez mais e mais jogos estão recebendo suporte para Linux – um movimento que deve muito ao Steam. No entanto, vale notar para os mais puristas que nem o Steam nem esses games com suporte para Linux são open-source – eles apenas rodam no Linux.

Hardware open-source

Você também pode ter hardware dedicado às versões do Linux, como o System76 Galago Pro ou o Purism Librem 15, mas esses dispositivos não costumam ser open-source como os softwares que rodam neles. Em alguns casos, você pode encontrar manuais técnicos disponíveis para o público, mas os componentes que vão no aparelho – como CPU e GPU – quase sempre são proprietários.

O mini PC Raspberry Pi, por exemplo, que custa 35 dólares, usa um chip ARM como base. Mas a placa sempre foi uma aliada do software open-source desde a sua chegada ao mercado.

Nos últimos 20 anos, as pessoas que produzem software open-source ajudaram a criar um novo mundo arrojado e habilitaram algumas das nossas infraestruturas on-line mais importantes. Por mais 20 anos!

NEW MONERO CRYPTO MINING BOTNET LEVERAGES ANDROID DEBUGGING TOOL

A new botnet that distributes malware for mining Monero cryptocurrency has emerged, infecting Android devices through a port linked with a debugging tool for the OS, according to researchers at Qihoo 360 Netlab.
Dubbed ADB.Miner by 360 Netlab, the botnet is gaining entry to Android devices–mostly smartphones and TV boxes–through port 5555, which is associated with Android Debug Bridge, a command-line tool that is used for debugging, installing apps and other purposes.
ADB typically communicates with devices via USB, but it’s also possible for it to use wifi with some setup, according to Android documentation.The botnet propagates itself in “worm”-like fashion, looking for open 5555 ports on other devices, most of which are Android-based, 360 Netlab researcher Hui Wang said in a blog post.
Notably, it uses some port scanning code from the Mirai botnet, which is the first time Mirai code has been used to target Android devices, he claimed. Mirai, which emerged in August 2016, has historically been used to attack Linux devices.
Most of the Android devices being targeted by ADB.Miner are located in China and South Korea, but 360 Netlab is not identifying any of them at this time.
“Overall, we think there is a new and active worm targeting android system’s adb debug interface spreading, and this worm has probably infected more than 5,000 devices in just 24 hours,” Wang wrote. In fact, 5555 port scanning traffic has hit the top 10, according to 360 Netlab’s own scanning data.
The botnet is distributing malicious code that is mining Monero coins, but as of yet none have been paid out, according to Wang.
Cybercriminals have been increasingly turning to cryptocurrency mining via botnets, with Monero a favored target. Those behind the massive Smominru botnet have generated as much as $3.6 million since May through an army of more than 500,000 infected machines, according to Proofpoint.
Crypto mining botnets have clear advantages over other types of attacks, such as ransomware, since they don’t necessarily require social engineering and by their nature are meant to operate stealthily, stealing nothing from victims but CPU cycles. In fact, crypto miners may be the “new payload of choice” for cybercriminals, researchers at Cisco Talos said recently.