ZNIU è il nome del primo malware Android in-the-wild che usa la vulnerabilità Dirty COW per infettare gli utenti. Dirty COW è una vulnerabilità di escalazione dei privilegi nel kernel di Linux che è venuta alla luce l’anno scorso, nell’Ottobre 2016. La vulnerabilità consente ad un attaccante di elevare il privilegio del codice di attacco al livello "root" e di eseguire operazioni dannose.
Il bug Dirty COW è stato presente nel kernel di Linux per nove anni, fin dal 2007. Al tempo della scoperta, Dirty COW era una 0-day che venne utilizzata contro i server Linux. Una patch fu rilasciata immediatamente.
Dirty COW colpisce anche i dispositivi Android
Dirty COW potrebbe essere utilizzata anche per colpire i dispositivi Android. Questo è dovuto al fatto che il sistema operativo Android si basa su una versione precedente del kernel Linux, altrettanto soggetto all'exploit di Dirty COW. Tutte le versioni del sistema operativo Android hanno questa vulnerabilità: per questo Google ha rilasciato una patch per Android nel novembre 2016.
Il malware ZNIU usa Dirty COW per entrare in modalità root e aprire una blackdoor
La famiglia di malware denominata ZNIU utilizza Dirty COW per violare i dispositivi e aprire una blackdoor. Gli attaccanti si servono di questa blackdoor per raccogliere informazioni dai dispositivi infetti. La seconda fase dell’attacco ha luogo solo se l’utente si trova in Cina. Gli aggressori sfruttano il pieno controllo che la blackdoor concede sul dispositivo per far abbonare l’utente ai numeri SMS premium, con conseguenti continui prelievi di denaro.
Esistono più di 1,200 applicazioni che distribuiscono ZNIU attraverso diversi siti web. La maggior parte delle applicazioni correlate fa riferimento a giochi e pornografia. Il malware ZNIU avrebbe infettato circa 5,000 utenti in oltre 40 paesi: la maggior parte in Cina e India.
Il miglioramento di Dirty COW di ZNIU
A livello tecnico, ZNIU usa un differente exploit di Dirty Cow. Il codice di exploit di Dirty Cow funziona solo su dispositivi Android cn architettura ARM/X86 a 64-bit. Quando infetta un dispositivo con architettura ARM a 32-bit, ZNIU usa KingoRoot per andare in modalità root e quindi l'exploit Iovyroot (CVE-2015-1805) al posto di Dirty COW per ottenere il livello root.
Le app ineffet da ZNIU non sono mai state nel Play Store di Google. Per evitare di essere esposti a questo malware (ma in generale a qualsiasi malware) è consigliabile non scaricare mai app da app store di terze parti. Anche il Play Store di Google non è perfetto, ma almeno esegue le scansioni di sicurezza basilari.
Nessun commento:
Posta un commento