Recomendado, 2024

Escolha Do Editor

Vulnerabilidade de vaca suja: como ZNIU está usando para atacar Android

Como o Linux é um projeto de código aberto, é difícil encontrar falhas de segurança em seu código-fonte, pois milhares de usuários continuam ativamente verificando e consertando o mesmo. Devido a essa abordagem proativa, mesmo quando uma falha é descoberta, ela é corrigida imediatamente. É por isso que foi tão surpreendente quando uma exploração foi descoberta no ano passado, que escapou da rigorosa due diligence de todos os usuários nos últimos 9 anos. Sim, você leu certo, embora a exploração tenha sido descoberta em outubro de 2016, existia dentro do código do kernel do Linux desde os últimos 9 anos. Esse tipo de vulnerabilidade, que é um tipo de erro de escalonamento de privilégio, é conhecido como a vulnerabilidade do Dirty Cow (número de catálogo de bug do kernel do Linux - CVE-2016-5195).

Embora esta vulnerabilidade tenha sido corrigida para o Linux uma semana após sua descoberta, ela deixou todos os dispositivos Android vulneráveis ​​a essa exploração (o Android é baseado no kernel do Linux). O Android foi atualizado em dezembro de 2016, no entanto, devido à natureza fragmentada do ecossistema Android, ainda há muitos dispositivos Android que não receberam a atualização e continuam vulneráveis ​​a ela. O que é mais assustador é que um novo malware Android, apelidado de ZNIU, foi descoberto há poucos dias, o que está explorando a vulnerabilidade do Dirty Cow. Neste artigo, vamos dar uma olhada em profundidade na vulnerabilidade Dirty Cow e como ela está sendo abusada no Android pelo malware ZNIU.

O que é a vulnerabilidade da vaca suja?

Como mencionado acima, a vulnerabilidade do Dirty Cow é um tipo de exploração de escalonamento de privilégios que pode ser usada para conceder privilégios de superusuário a qualquer pessoa. Basicamente, ao usar esta vulnerabilidade, qualquer usuário com intenção maliciosa pode conceder a si mesmo um privilégio de superusuário, tendo assim um acesso root completo ao dispositivo da vítima. Conseguir o acesso root ao dispositivo da vítima dá ao invasor controle total sobre o dispositivo e ele pode extrair todos os dados armazenados no dispositivo, sem que o usuário se torne mais sábio.

O que é ZNIU e que vaca suja tem a ver com isso?

O ZNIU é o primeiro malware registrado para Android que está utilizando a vulnerabilidade do Dirty Cow para atacar dispositivos Android. O malware usa a vulnerabilidade Dirty Cow para obter acesso root aos dispositivos da vítima. Atualmente, detectou-se que o malware está oculto em mais de 1200 aplicativos de jogos e pornografia para adultos. No momento da publicação deste artigo, mais de 5.000 usuários em 50 países foram afetados por ele.

Quais dispositivos Android são vulneráveis ​​ao ZNIU?

Após a descoberta da vulnerabilidade do Dirty Cow (outubro de 2016), o Google lançou um patch em dezembro de 2016 para corrigir esse problema. No entanto, o patch foi lançado para dispositivos Android que estavam sendo executados no Android KitKat (4.4) ou superior. De acordo com a divisão da distribuição do Android OS pelo Google, mais de 8% dos smartphones Android ainda estão sendo executados em versões inferiores do Android. Dos que rodam no Android 4.4 para o Android 6.0 (Marshmallow), somente esses dispositivos são seguros e receberam e instalaram o patch de segurança de dezembro para seus dispositivos.

Isso é um monte de dispositivos Android que têm o potencial de serem explorados. No entanto, as pessoas podem se consolar com o fato de que ZNIU está usando uma versão um pouco modificada da vulnerabilidade Dirty Cow e, portanto, foi encontrado para ser bem sucedido apenas contra os dispositivos Android que estão usando a arquitetura ARM / X86 de 64 bits . Ainda assim, se você for um proprietário do Android, seria melhor verificar se você instalou o patch de segurança de dezembro ou não.

ZNIU: Como isso funciona?

Após o usuário ter baixado um aplicativo malicioso infectado com o malware ZNIU, quando ele iniciar o aplicativo, o malware ZNIU entrará em contato e se conectará automaticamente aos seus servidores de comando e controle (C & C) para obter atualizações, se disponíveis. Depois de se atualizar, ele usará a exploração de escalonamento de privilégios (Dirty Cow) para obter acesso root ao dispositivo da vítima. Uma vez que tenha acesso root ao dispositivo, ele coletará as informações do usuário do dispositivo .

Atualmente, o malware está usando as informações do usuário para entrar em contato com a operadora de rede da vítima, colocando-se como o próprio usuário. Uma vez autenticado, irá realizar micro-transações baseadas em SMS e cobrar o pagamento através do serviço de pagamento da transportadora. O malware é inteligente o suficiente para excluir todas as mensagens do dispositivo após as transações terem ocorrido. Assim, a vítima não tem idéia sobre as transações. Geralmente, as transações são realizadas por valores muito pequenos (US $ 3 / mês). Esta é outra precaução tomada pelo atacante para garantir que a vítima não descubra as transferências de fundos.

Depois de rastrear as transações, descobriu-se que o dinheiro foi transferido para uma empresa fictícia com base na China . Como as transações baseadas em operadoras não estão autorizadas a transferir dinheiro internacionalmente, somente os usuários afetados na China sofrerão com essas transações ilegais. No entanto, os usuários fora da China ainda terão o malware instalado em seu dispositivo, que pode ser ativado a qualquer momento remotamente, tornando-os possíveis alvos. Mesmo que as vítimas internacionais não sofram com transações ilegais, o backdoor dá ao invasor a chance de injetar mais códigos maliciosos no dispositivo.

Como se salvar do malware do ZNIU

Escrevemos um artigo inteiro sobre como proteger seu dispositivo Android contra malware, que você pode ler clicando aqui. O básico é usar o bom senso e não instalar os aplicativos de fontes não confiáveis. Mesmo no caso do malware ZNIU, vimos que o malware é entregue ao celular da vítima quando instalam aplicativos pornográficos ou de jogos para adultos, feitos por desenvolvedores não confiáveis. Para se proteger contra esse malware específico, verifique se o dispositivo está no patch de segurança atual do Google. O exploit foi corrigido com o patch de segurança de dezembro (2016) do Google, portanto, qualquer um que tenha esse patch instalado estará protegido contra o malware ZNIU. Ainda assim, dependendo do seu OEM, você pode não ter recebido a atualização, por isso é sempre melhor estar ciente de todos os riscos e tomar as precauções necessárias do seu lado. Novamente, tudo o que você deve e não deve fazer para salvar seu dispositivo de ser infectado por um malware é mencionado no artigo que está vinculado acima.

Proteja seu Android de ser infectado por malware

Nos últimos dois anos, houve um aumento nos ataques de malware no Android. A vulnerabilidade do Dirty Cow foi uma das maiores façanhas já descobertas e ver como o ZNIU está explorando esta vulnerabilidade é simplesmente horrível. O ZNIU é especialmente preocupante devido à extensão dos dispositivos que impacta e ao controle irrestrito que ele concede ao invasor. No entanto, se você estiver ciente dos problemas e tomar as precauções necessárias, seu dispositivo estará protegido contra esses ataques potencialmente perigosos. Portanto, primeiro certifique-se de atualizar os patches de segurança mais recentes do Google assim que os obtiver e, em seguida, mantenha-os longe de aplicativos, arquivos e links não confiáveis ​​e suspeitos. O que você acha que deve proteger seu dispositivo contra ataques de malware? Deixe-nos saber seus pensamentos sobre o assunto, soltando-os na seção de comentários abaixo.

Top