Dirty COW agora sendo abusado no Android por ZNIU

Dirty COW foi encontrado no ano passado, mas nunca foi usado no Android, exceto para fazer root em dispositivos. agora vemos o primeiro uso malicioso dele. Conheça a ZNIU.

VACA Suja (Cópia suja na gravação) ou CVE-2016-5195, é um bug do Linux de 9 anos que foi descoberto em outubro do ano passado. É um dos bugs mais sérios já encontrados no kernel do Linux, e agora um malware chamado ZNIU foi encontrado à solta. O bug foi corrigido na atualização de segurança de dezembro de 2016, mas todos os dispositivos que não o receberam estão vulneráveis. Quantos dispositivos são isso? Bastante.

Como você pode ver acima, na verdade há um número considerável de dispositivos anteriores ao Android 4.4, quando o Google começou a fazer patches de segurança. Além do mais, qualquer dispositivo com Android 6.0 Marshmallow ou inferior estará em risco a menos que tenham recebido patches de segurança após dezembro de 2016, e a menos que esses patches direcionem corretamente o bug. Com a negligência de muitos fabricantes com as atualizações de segurança, é difícil dizer que a maioria das pessoas está realmente protegida. Uma análise por

TrendLabs revelou muitas informações sobre ZNIU.

ZNIU – O primeiro malware usando Dirty COW no Android

Primeiro vamos esclarecer uma coisa: ZNIU é não o primeiro uso registrado de Dirty COW no Android. Na verdade, um usuário em nossos fóruns usou o exploit Dirty COW (DirtySanta é basicamente apenas Dirty COW) para desbloquear o bootloader do LG V20. ZNIU é apenas o primeiro uso registrado do bug para fins maliciosos. É provável que isso aconteça porque o aplicativo é incrivelmente complexo. Parece estar ativo em 40 países, com mais de 5.000 usuários infectados no momento em que este artigo foi escrito. Disfarça-se em aplicações de pornografia e jogos, presentes em mais de 1200 aplicações.

O que o malware ZNIU Dirty COW faz?

Em primeiro lugar, a implementação Dirty COW do ZNIU só funciona na arquitetura ARM e X86 de 64 bits. Isso não parece tão ruim, já que a maioria dos carros-chefe na arquitetura de 64 bits geralmente terá pelo menos o patch de segurança de dezembro de 2016. No entanto, qualquer dispositivo de 32 bitstambém pode ser suscetível para lovyroot ou KingoRoot, que dois dos seis rootkits ZNIU usam.

Mas o que o ZNIU faz? Isto majoritariamente aparece como um aplicativo relacionado a pornografia, mas também pode ser encontrado em aplicativos relacionados a jogos. Uma vez instalado, ele verifica se há uma atualização para a carga útil do ZNIU. Em seguida, ele iniciará o escalonamento de privilégios, obtendo acesso root, ignorando o SELinux e instalando um backdoor no sistema para futuros ataques remotos.

Depois que o aplicativo é inicializado e o backdoor instalado, ele começa a enviar informações do dispositivo e da operadora de volta para um servidor localizado na China continental. Em seguida, começa a transferir dinheiro para uma conta através do serviço de pagamento de uma operadora, mas apenas se o usuário infectado tiver um número de telefone chinês. As mensagens que confirmam as transações são então interceptadas e excluídas. Os usuários de fora da China terão seus dados registrados e um backdoor instalado, mas não terão pagamentos feitos a partir de suas contas. O valor arrecadado é ridiculamente pequeno para evitar aviso prévio, o equivalente a US$ 3 por mês. ZNIU aproveita o acesso root para suas ações relacionadas ao SMS, já que para interagir com o SMS, normalmente, um aplicativo precisaria ter acesso concedido pelo usuário. Também pode infectar outros aplicativos instalados no dispositivo. Todas as comunicações são criptografadas, incluindo as cargas de rootkit baixadas no dispositivo.

Apesar da criptografia, o processo de ofuscação foi ruim o suficiente para que TrendLabs foram capazes de determinar os detalhes do servidor web, incluindo a localização, usado para comunicação entre o malware e o servidor.

Como funciona o malware ZNIU Dirty COW?

O funcionamento é bastante simples e fascinante do ponto de vista da segurança. O aplicativo baixa a carga necessária para o dispositivo atual em que está sendo executado e a extrai para um arquivo. Este arquivo contém todos os arquivos de script ou ELF necessários para o funcionamento do malware. Ele grava então em um objeto compartilhado virtual dinamicamente vinculado (vDSO), que geralmente é um mecanismo para fornecer aos aplicativos do usuário (ou seja, não-root) um espaço para trabalhar dentro do kernel. Não há limite de SELinux aqui, e é aqui que a “mágica” do Dirty COW realmente acontece. Ele cria um "shell reverso", que em termos simples significa que a máquina (neste caso, seu telefone) está executando comandos para seu aplicativo, e não o contrário. Isso permite que o invasor obtenha acesso ao dispositivo, o que o ZNIU faz corrigindo o SELinux e instalando um backdoor root shell.

Então o que eu posso fazer?

Na verdade, tudo o que você pode fazer é ficar longe de aplicativos que não estão na Play Store. O Google confirmou para TrendLabs que O Google Play Protect agora reconhecerá o aplicativo. Se o seu dispositivo tiver o patch de segurança de dezembro de 2016 ou posterior, você também estará totalmente seguro.


Fonte: TrendLabs