Poiché Linux è un progetto open source, è difficile trovare difetti di sicurezza nel suo codice sorgente mentre migliaia di utenti continuano a controllarlo e correggerlo. A causa di questo approccio proattivo, anche quando viene scoperto un difetto, viene immediatamente corretto. Ecco perché è stato così sorprendente quando l'anno scorso è stato scoperto un exploit che è sfuggito alla rigorosa due diligence di tutti gli utenti negli ultimi 9 anni. Sì, avete letto bene, anche se l'exploit è stato scoperto nell'ottobre 2016, esisteva all'interno del codice del kernel Linux dagli ultimi 9 anni. Questo tipo di vulnerabilità, che è un tipo di bug di escalation dei privilegi, è noto come vulnerabilità di Dirty Cow (numero di catalogo bug del kernel di Linux - CVE-2016-5195).
Sebbene questa vulnerabilità sia stata riparata per Linux una settimana dopo la sua scoperta, ha lasciato tutti i dispositivi Android vulnerabili a questo exploit (Android è basato sul kernel Linux). Le patch Android sono state seguite a dicembre 2016, tuttavia, a causa della natura frammentaria dell'ecosistema Android, ci sono ancora molti dispositivi Android che non hanno ricevuto l'aggiornamento e rimangono vulnerabili. La cosa più spaventosa è che un nuovo malware Android soprannominato ZNIU è stato scoperto solo un paio di giorni fa, sfruttando la vulnerabilità di Dirty Cow. In questo articolo, daremo un'occhiata approfondita alla vulnerabilità di Dirty Cow e al modo in cui viene abusato su Android dal malware ZNIU.
Qual è la vulnerabilità della mucca sporca?
Come accennato in precedenza, la vulnerabilità di Dirty Cow è un tipo di exploit di escalation di privilegi che può essere utilizzato per concedere privilegi di superutente a chiunque. Fondamentalmente, utilizzando questa vulnerabilità, qualsiasi utente malintenzionato può concedersi un privilegio di superutente, avendo così accesso completo e completo al dispositivo di una vittima. Ottenere l'accesso di root al dispositivo di una vittima dà al malintenzionato il pieno controllo del dispositivo e può estrarre tutti i dati memorizzati sul dispositivo, senza che l'utente diventi più saggio.
Che cos'è ZNIU e che cosa ha a che fare la mucca sporca?
ZNIU è il primo malware registrato per Android che utilizza la vulnerabilità di Dirty Cow per attaccare i dispositivi Android. Il malware utilizza la vulnerabilità di Dirty Cow per ottenere l'accesso di root ai dispositivi della vittima. Attualmente è stato rilevato che il malware si nasconde in oltre 1200 giochi per adulti e app pornografiche. Al momento della pubblicazione di questo articolo sono stati trovati più di 5000 utenti in 50 paesi.
Quali dispositivi Android sono vulnerabili a ZNIU?
Dopo la scoperta della vulnerabilità di Dirty Cow (ottobre 2016), Google ha rilasciato una patch a dicembre 2016 per risolvere questo problema. Tuttavia, la patch è stata rilasciata per i dispositivi Android che erano in esecuzione su Android KitKat (4.4) o superiore. Secondo la rottura della distribuzione del sistema operativo Android da parte di Google, oltre l'8% degli smartphone Android è ancora in esecuzione su versioni inferiori di Android. Di quelli che funzionano su Android 4.4 su Android 6.0 (Marshmallow), solo quei dispositivi sono sicuri che hanno ricevuto e installato la patch di sicurezza di dicembre per i loro dispositivi.
Si tratta di molti dispositivi Android che hanno il potenziale di essere sfruttati. Tuttavia, le persone possono prendere confidenza nel fatto che ZNIU sta usando una versione leggermente modificata della vulnerabilità di Dirty Cow e quindi è stato trovato per avere successo solo contro quei dispositivi Android che utilizzano l' architettura ARM / X86 a 64 bit . Tuttavia, se sei un proprietario di Android, sarebbe meglio controllare se hai installato la patch di sicurezza di dicembre o meno.
ZNIU: Come funziona?
Dopo che l'utente ha scaricato un'app dannosa che è stata infettata dal malware ZNIU, quando avvia l'app, il malware ZNIU si connetterà automaticamente e si connetterà ai suoi server di comando e controllo (C & C) per ottenere eventuali aggiornamenti, se disponibili. Una volta aggiornato, utilizzerà l'exploit di escalation dei privilegi (Dirty Cow) per ottenere l'accesso di root al dispositivo della vittima. Una volta che ha l'accesso di root al dispositivo, raccoglierà le informazioni dell'utente dal dispositivo .
Attualmente il malware utilizza le informazioni dell'utente per contattare l'operatore di rete della vittima presentandosi come utente stesso. Una volta autenticato, eseguirà micro-transazioni basate su SMS e riscuoterà il pagamento tramite il servizio di pagamento del corriere. Il malware è abbastanza intelligente da eliminare tutti i messaggi dal dispositivo dopo che le transazioni hanno avuto luogo. Quindi, la vittima non ha idea delle transazioni. Generalmente, le transazioni vengono eseguite per importi molto piccoli ($ 3 al mese). Questa è un'altra precauzione presa dall'attaccante per assicurare che la vittima non scopra i trasferimenti del fondo.
Dopo aver rintracciato le transazioni, è stato riscontrato che il denaro è stato trasferito a una società fittizia con sede in Cina . Poiché le transazioni basate sui carrier non sono autorizzate a trasferire denaro a livello internazionale, solo gli utenti interessati in Cina subiranno tali transazioni illegali. Tuttavia, gli utenti al di fuori della Cina continueranno ad avere il malware installato sul dispositivo che può essere attivato in qualsiasi momento da remoto, rendendoli potenziali bersagli. Anche se le vittime internazionali non subiscono transazioni illegali, la backdoor offre all'aggressore la possibilità di iniettare più codice dannoso nel dispositivo.
Come salvarti dal malware ZNIU
Abbiamo scritto un intero articolo sulla protezione del tuo dispositivo Android da malware, che puoi leggere cliccando qui. La cosa fondamentale è usare il buon senso e non installare le app da fonti non attendibili. Anche nel caso del malware ZNIU, abbiamo visto che il malware viene recapitato sul cellulare della vittima quando installa app pornografiche o per giochi per adulti, create da sviluppatori non fidati. Per proteggersi da questo malware specifico, assicurati che il tuo dispositivo sia nella patch di sicurezza corrente di Google. L'exploit è stato aggiornato con la patch di sicurezza di dicembre (2016) di Google, quindi chiunque abbia installato tale patch è al sicuro dal malware ZNIU. Tuttavia, a seconda del tuo OEM, potresti non aver ricevuto l'aggiornamento, quindi è sempre meglio essere consapevoli di tutti i rischi e prendere la necessaria precauzione dalla tua parte. Ancora una volta, tutto ciò che dovresti e non dovresti fare per evitare che il tuo dispositivo venga infettato da un malware è menzionato nell'articolo che è collegato sopra.
Proteggi il tuo Android da Infected By Malware
L'ultimo paio di anni ha visto un aumento degli attacchi malware su Android. La vulnerabilità di Dirty Cow è stata uno dei più grandi exploit che siano mai stati scoperti e vedere come ZNIU stia sfruttando questa vulnerabilità è semplicemente orribile. ZNIU è particolarmente preoccupante a causa della vastità dei dispositivi che impatta e del controllo illimitato che garantisce all'aggressore. Tuttavia, se sei a conoscenza dei problemi e prendi le necessarie precauzioni, il tuo dispositivo sarà al sicuro da questi attacchi potenzialmente pericolosi. Pertanto, per prima cosa assicurati di aggiornare le ultime patch di sicurezza da Google non appena le ricevi, quindi di stare lontano da app, file e collegamenti non attendibili e sospetti. Cosa pensi che si dovrebbe fare per proteggere il loro dispositivo dagli attacchi di malware. Fateci sapere i vostri pensieri sull'argomento facendoli cadere nella sezione commenti qui sotto.
