Miles de Androids expuestos a conexiones remotas.


La comunidad de Seguridad alarmo que existen miles de equipos Android que están expuestos en su puerto de Debug a conexiones remotas.

Esta falla no es nueva, ya que los investigadores de Qihoo postearon en febrero de este año, sobre la existencia un gusano de Android que se esparce de equipo en equipo (todos Android) infectando los equipos con un malware de minería de Criptomonedas llamado ADB.Miner.

Este malware se aprovecha de una característica de Android llamado Android Debug Bridge (ADB) la cual es utilizado para hacer troubleshooting en equipos con problemas.

El problema es que varios fabricantes o vendedores de Android están lanzando sus dispositivos con acceso a ADB over Wifi habilitado, la cual permite acceder al puerto mediante WIFI en vez de utilizar cable USB. Los clientes que usan estos dispositivos pueden desconocer que su dispositivo está abierto a conexiones remotas a través de la interfaz ADB, normalmente accesible a través del puerto TCP 5555.

Además, debido a que ADB es una herramienta de resolución de problemas, también le otorga al usuario acceso a una gran cantidad de herramientas sensibles, incluyendo un shell Unix.

De esta manera es que ADB.Miner se ha propagado desde febrero, ganando acceso a los dispositivos a través del puerto ADB, y usando la shell de Unix fueron capaces de instalar monero en los equipos y haciendo nuevos escaneos al puerto TCP/5555


Qihoo 360 realizo un escaneo de Red y confirmo que detecto bastante actividad  en el puerto 5555 y ya han revisado cerca de 30 Millones de registros en el ultimo mes.

Para empeorar las cosas, también hay un módulo Metasploit para explotar y rootear dispositivos Android a través del puerto 5555 de forma automatizada y con scripts, haciendo que este problema de configuración errónea sea un peligro claro y presente para todos los propietarios de dispositivos con Android.

Articulo de BleepingComputer