Dirty COW se encontró el año pasado, pero nunca se usó en Android, excepto para dispositivos de rooteo. ahora vemos el primer uso malicioso del mismo. Conoce ZNIU.
VACA sucia (Copia sucia en escritura) o CVE-2016-5195, es un error de Linux de hace 9 años que se descubrió en octubre del año pasado. Es uno de los errores más graves jamás encontrados en el kernel de Linux, y ahora se ha encontrado en libertad un malware denominado ZNIU. El error se corrigió en la actualización de seguridad de diciembre de 2016, pero cualquier dispositivo que no lo haya recibido es vulnerable. ¿Cuántos dispositivos es eso? Bastante.
Como puede ver arriba, en realidad hay una cantidad considerable de dispositivos anteriores a Android 4.4, cuando Google comenzó a crear parches de seguridad. Es más, cualquier dispositivo con Android 6.0 Marshmallow o inferior estará en riesgo. a menos que hayan recibido algún parche de seguridad después de diciembre de 2016, y a menos que dichos parches apuntaran adecuadamente al error
. Con la negligencia de muchos fabricantes con las actualizaciones de seguridad, es difícil decir que la mayoría de las personas están realmente protegidas. Un análisis por Laboratorios de tendencias ha revelado mucha información sobre ZNIU.ZNIU: el primer malware que utiliza Dirty COW en Android
Primero dejemos una cosa clara, ZNIU es no el primer uso registrado de Dirty COW en Android. De hecho, un usuario de nuestros foros utilizó el exploit Dirty COW (DirtySanta es básicamente Dirty COW). para desbloquear el gestor de arranque del LG V20. ZNIU es solo el primer uso registrado del error con fines maliciosos. Probablemente esto se deba a que la aplicación es increíblemente compleja. Parece estar activo en 40 países, con más de 5000 usuarios infectados en el momento de escribir este artículo. Se disfraza de pornografía y aplicaciones de juegos, presentes en más de 1200 aplicaciones.
¿Qué hace el malware ZNIU Dirty COW?
En primer lugar, la implementación Dirty COW de ZNIU solo funciona en arquitectura ARM y X86 de 64 bits. Esto no suena tan mal, ya que la mayoría de los buques insignia con arquitectura de 64 bits generalmente tendrán al menos el parche de seguridad de diciembre de 2016. Sin embargo, cualquier dispositivo de 32 bitstambién puede ser susceptible a lovyroot o KingoRoot, que utilizan dos de los seis rootkits de ZNIU.
¿Pero qué hace ZNIU? Él principalmente Aparece como una aplicación relacionada con la pornografía, pero nuevamente también se puede encontrar en aplicaciones relacionadas con juegos. Una vez instalado, busca una actualización para la carga útil de ZNIU. Luego comenzará la escalada de privilegios, obteniendo acceso raíz, evitando SELinux e instalando una puerta trasera en el sistema para futuros ataques remotos.
Una vez que la aplicación se ha inicializado y la puerta trasera está instalada, comienza a enviar información del dispositivo y del operador a un servidor ubicado en China continental. Luego comienza a transferir dinero a una cuenta a través del servicio de pago de un operador, pero sólo si el usuario infectado tiene un número de teléfono chino. A continuación, los mensajes que confirman las transacciones son interceptados y eliminados. A los usuarios de fuera de China se les registrarán sus datos y se les instalará una puerta trasera, pero no se realizarán pagos desde su cuenta. La cantidad que se cobra es ridículamente pequeña para evitar ser notificado, el equivalente a 3 dólares al mes. ZNIU aprovecha el acceso raíz para sus acciones relacionadas con SMS, ya que para interactuar con SMS normalmente el usuario necesitaría otorgar acceso a una aplicación. También puede infectar otras aplicaciones instaladas en el dispositivo. Todas las comunicaciones están cifradas, incluidas las cargas útiles de rootkit descargadas en el dispositivo.
A pesar de dicho cifrado, el proceso de ofuscación fue lo suficientemente deficiente como para Laboratorios de tendencias Pudieron determinar los detalles del servidor web, incluida la ubicación, utilizado para la comunicación entre el malware y el servidor.
¿Cómo funciona el malware ZNIU Dirty COW?
Su funcionamiento es bastante sencillo y fascinante desde el punto de vista de la seguridad. La aplicación descarga la carga útil que necesita para el dispositivo actual en el que se está ejecutando y la extrae en un archivo. Este archivo contiene todos los archivos de script o ELF necesarios para que funcione el malware. Luego escribe en un objeto compartido virtual vinculado dinámicamente (vDSO), que suele ser un mecanismo para dar a las aplicaciones de usuario (es decir, no raíz) un espacio para trabajar dentro del kernel. Aquí no hay límite de SELinux, y aquí es donde realmente ocurre la "magia" de Dirty COW. Crea un "shell inverso", que en términos simples significa que la máquina (en este caso, su teléfono) está ejecutando comandos para su aplicación y no al revés. Esto permite que el atacante obtenga acceso al dispositivo, lo que hace ZNIU parcheando SELinux e instalando un shell raíz de puerta trasera.
¿Entonces Que puedo hacer?
Realmente, todo lo que puedes hacer es mantenerte alejado de las aplicaciones que no están en Play Store. Google ha confirmado Laboratorios de tendencias eso Google Play Protect ahora reconocerá la aplicación. Si tu dispositivo tiene el parche de seguridad de diciembre de 2016 o posterior también estás completamente seguro.
Fuente: TrendLabs