Dirty COW è stato trovato l'anno scorso, ma non è mai stato utilizzato su Android tranne che per i dispositivi di rooting. ora ne vediamo il primo utilizzo dannoso. Incontra ZNIU.
MUCCA sporca (Copia su scrittura sporca) o CVE-2016-5195, è un bug Linux vecchio di 9 anni che è stato scoperto nell'ottobre dello scorso anno. È uno dei bug più gravi mai trovati nel kernel Linux e ora è stato trovato in circolazione un malware soprannominato ZNIU. Il bug è stato corretto nell'aggiornamento di sicurezza di dicembre 2016, ma tutti i dispositivi che non lo hanno ricevuto sono vulnerabili. Quanti dispositivi sono? Parecchio.
Come puoi vedere sopra, in realtà esiste un numero considerevole di dispositivi precedenti ad Android 4.4, quando Google ha iniziato a creare patch di sicurezza. Inoltre, qualsiasi dispositivo con Android 6.0 Marshmallow o versione precedente sarà effettivamente a rischio a meno che non abbiano ricevuto patch di sicurezza dopo dicembre 2016, e a meno che tali patch non abbiano preso di mira adeguatamente il bug
ZNIU - Il primo malware che utilizza Dirty COW su Android
Per prima cosa chiariamo una cosa: ZNIU lo è non il primo utilizzo registrato di Dirty COW su Android. Infatti, un utente sui nostri forum ha utilizzato l'exploit Dirty COW (DirtySanta è fondamentalmente solo Dirty COW) per sbloccare il bootloader dell'LG V20. ZNIU è solo il primo utilizzo registrato del bug utilizzato per uno scopo dannoso. È probabile che ciò sia dovuto al fatto che l'applicazione è incredibilmente complessa. Sembra essere attivo in 40 paesi, con oltre 5000 utenti infetti al momento in cui scriviamo. Si maschera sotto forma di pornografia e applicazioni di giochi, presenti in oltre 1200 applicazioni.
Cosa fa il malware ZNIU Dirty COW?
Innanzitutto, l'implementazione Dirty COW di ZNIU funziona solo su architettura ARM e X86 a 64 bit. Questo non sembra poi così male, dato che la maggior parte dei flagship con architettura a 64 bit di solito avranno almeno la patch di sicurezza di dicembre 2016. Tuttavia, qualsiasi dispositivo a 32 bitpotrebbe anche essere suscettibile a lovyroot o KingoRoot, utilizzati da due dei sei rootkit ZNIU.
Ma cosa fa ZNIU? Esso soprattutto appare come un'app correlata alla pornografia, ma può essere trovata anche in applicazioni relative ai giochi. Una volta installato, verifica la presenza di un aggiornamento per il payload ZNIU. Inizierà quindi l'escalation dei privilegi, ottenendo l'accesso root, bypassando SELinux e installando una backdoor nel sistema per futuri attacchi remoti.
Una volta inizializzata l'applicazione e installata la backdoor, inizia a inviare le informazioni sul dispositivo e sull'operatore a un server situato nella Cina continentale. Inizia quindi a trasferire denaro su un conto tramite il servizio di pagamento di un operatore, ma solo se l'utente infetto ha un numero di telefono cinese. I messaggi di conferma delle transazioni vengono poi intercettati e cancellati. Gli utenti al di fuori della Cina avranno i loro dati registrati e una backdoor installata, ma non potranno effettuare pagamenti dal proprio account. L'importo prelevato è ridicolosamente basso per evitare il preavviso, l'equivalente di 3 dollari al mese. ZNIU sfrutta l'accesso root per le sue azioni relative agli SMS, poiché per interagire con gli SMS un'applicazione dovrebbe normalmente ottenere l'accesso da parte dell'utente. Può anche infettare altre applicazioni installate sul dispositivo. Tutte le comunicazioni sono crittografate, compresi i payload rootkit scaricati sul dispositivo.
Nonostante detta crittografia, il processo di offuscamento era abbastanza scarso TrendLabs sono stati in grado di determinare i dettagli del server Web, inclusa la posizione, utilizzato per la comunicazione tra il malware e il server.
Come funziona il malware ZNIU Dirty COW?
Il suo funzionamento è abbastanza semplice e affascinante dal punto di vista della sicurezza. L'applicazione scarica il payload necessario per il dispositivo corrente su cui è in esecuzione e lo estrae in un file. Questo file contiene tutti gli script o i file ELF necessari per il funzionamento del malware. Scrive quindi nell'oggetto virtuale condiviso dinamicamente collegato (vDSO), che di solito è un meccanismo per fornire alle applicazioni utente (cioè non root) uno spazio per lavorare all'interno del kernel. Non ci sono limiti a SELinux qui, ed è qui che avviene davvero la "magia" di Dirty COW. Crea una "shell inversa", che in termini semplici significa che la macchina (in questo caso, il tuo telefono) sta eseguendo i comandi sulla tua applicazione invece del contrario. Ciò consente all'aggressore di ottenere l'accesso al dispositivo, cosa che ZNIU fa applicando una patch a SELinux e installando una shell root backdoor.
Quindi cosa posso fare?
In realtà, tutto ciò che puoi fare è stare lontano dalle applicazioni non presenti sul Play Store. Google ha confermato di TrendLabs Quello Google Play Protect ora riconoscerà l'applicazione. Se il tuo dispositivo ha la patch di sicurezza di dicembre 2016 o successiva sei anche completamente al sicuro.
Fonte: TrendLabs