Dirty COW a été trouvé l'année dernière, mais n'a jamais été utilisé sur Android, sauf pour rooter les appareils. nous en voyons maintenant la première utilisation malveillante. Rencontrez ZNIU.
Sale vache (Copie sale sur écriture) ou CVE-2016-5195, est un bug Linux vieux de 9 ans qui a été découvert en octobre de l'année dernière. Il s’agit de l’un des bugs les plus graves jamais découverts dans le noyau Linux, et un malware baptisé ZNIU a maintenant été découvert dans la nature. Le bug a été corrigé dans la mise à jour de sécurité de décembre 2016, mais tous les appareils qui ne l'ont pas reçu sont vulnérables. Cela fait combien d’appareils? Beaucoup.
Comme vous pouvez le voir ci-dessus, il existe en fait un nombre important d'appareils antérieurs à Android 4.4, lorsque Google a commencé à créer des correctifs de sécurité. De plus, tout appareil fonctionnant sous Android 6.0 Marshmallow ou une version antérieure sera en danger. à moins qu'ils n'aient reçu des correctifs de sécurité après décembre 2016,
et à moins que lesdits correctifs ne ciblent correctement le bug. Compte tenu de la négligence de nombreux fabricants en matière de mises à jour de sécurité, il est difficile de dire que la plupart des utilisateurs sont réellement protégés. Une analyse par Laboratoires de tendances a révélé de nombreuses informations sur ZNIU.ZNIU - Le premier malware utilisant Dirty COW sur Android
Soyons d'abord clairs, ZNIU est pas la première utilisation enregistrée de Dirty COW sur Android. En fait, un utilisateur de nos forums a utilisé l'exploit Dirty COW (DirtySanta est simplement Dirty COW). pour déverrouiller le bootloader du LG V20. ZNIU n'est que la première utilisation enregistrée du bug à des fins malveillantes. Il est probable que cela soit dû au fait que l'application est incroyablement complexe. Il semble être actif dans 40 pays, avec plus de 5 000 utilisateurs infectés au moment de la rédaction de cet article. Il se déguise en applications pornographiques et ludiques, présentes dans plus de 1 200 applications.
Que fait le malware ZNIU Dirty COW?
Premièrement, l'implémentation Dirty COW de ZNIU ne fonctionne que sur les architectures ARM et X86 64 bits. Cela ne semble pas trop grave, car la plupart des produits phares sur l'architecture 64 bits auront généralement au moins le correctif de sécurité de décembre 2016. Cependant, tous les appareils 32 bitspeut également être sensible à lovyroot ou KingoRoot, que deux des six rootkits ZNIU utilisent.
Mais que fait ZNIU? Il surtout apparaît comme une application liée à la pornographie, mais peut également être trouvée dans des applications liées aux jeux. Une fois installé, il recherche une mise à jour pour la charge utile ZNIU. Il commencera alors l'élévation des privilèges, obtenant un accès root, contournant SELinux et installant une porte dérobée dans le système pour de futures attaques à distance.
Une fois l'application initialisée et la porte dérobée installée, elle commence à renvoyer les informations sur l'appareil et l'opérateur à un serveur situé en Chine continentale. Il commence alors à transférer de l'argent sur un compte via le service de paiement d'un opérateur, mais seulement si l'utilisateur infecté possède un numéro de téléphone chinois. Les messages confirmant les transactions sont alors interceptés et supprimés. Les utilisateurs extérieurs à la Chine verront leurs données enregistrées et une porte dérobée installée, mais aucun paiement ne sera effectué à partir de leur compte. Le montant prélevé est ridiculement petit pour éviter tout préavis, l'équivalent de 3 $ par mois. ZNIU exploite l'accès root pour ses actions liées aux SMS, car pour interagir avec les SMS, une application devrait normalement obtenir l'accès de l'utilisateur. Il peut également infecter d'autres applications installées sur l'appareil. Toutes les communications sont cryptées, y compris les charges utiles du rootkit téléchargées sur l'appareil.
Malgré ce cryptage, le processus d'obscurcissement était suffisamment médiocre pour que Laboratoires de tendances ont pu déterminer les détails du serveur Web, y compris l'emplacement, utilisé pour la communication entre le logiciel malveillant et le serveur.
Comment fonctionne le malware ZNIU Dirty COW?
Son fonctionnement est assez simple et fascinant du point de vue de la sécurité. L'application télécharge la charge utile dont elle a besoin pour l'appareil actuel sur lequel elle s'exécute et l'extrait dans un fichier. Ce fichier contient tous les fichiers script ou ELF nécessaires au fonctionnement du malware. Il écrit ensuite dans un objet partagé virtuel dynamiquement lié (vDSO), qui est généralement un mécanisme permettant de donner aux applications utilisateur (c'est-à-dire non root) un espace pour travailler au sein du noyau. Il n'y a pas de limite SELinux ici, et c'est là que la « magie » de Dirty COW se produit réellement. Il crée un "shell inversé", ce qui signifie en termes simples que la machine (dans ce cas, votre téléphone) exécute des commandes vers votre application au lieu de l'inverse. Cela permet à l'attaquant d'accéder ensuite à l'appareil, ce que ZNIU fait en appliquant un correctif à SELinux et en installant un shell racine de porte dérobée.
Alors qu'est-ce que je peux faire?
En réalité, tout ce que vous pouvez faire est de rester à l’écart des applications qui ne figurent pas sur le Play Store. Google a confirmé Laboratoires de tendances que Google Play Protect reconnaîtra désormais l'application. Si votre appareil dispose du correctif de sécurité de décembre 2016 ou version ultérieure, vous êtes également totalement en sécurité.
Source: TrendLabs