Thomas Glenn
0 
5223
712
Como o Linux é um projeto de código aberto, é difícil encontrar falhas de segurança em seu código-fonte, pois milhares de usuários continuam verificando e corrigindo o mesmo. Devido a essa abordagem proativa, mesmo quando uma falha é descoberta, ela é corrigida imediatamente. É por isso que foi tão surpreendente quando uma exploração foi descoberta no ano passado, que escapou da rigorosa due diligence de todos os usuários nos últimos 9 anos. Sim, você leu certo, embora a exploração tenha sido descoberta em outubro de 2016, ela existia dentro do código do kernel do Linux desde os últimos 9 anos. Esse tipo de vulnerabilidade, que é um tipo de bug de escalação de privilégios, é conhecido como vulnerabilidade Dirty Cow (número de catálogo de bug do kernel do Linux - CVE-2016-5195).
Embora essa vulnerabilidade tenha sido corrigida para o Linux uma semana após sua descoberta, deixou todos os dispositivos Android vulneráveis a essa exploração (o Android é baseado no kernel do Linux). O patch do Android seguiu em dezembro de 2016, no entanto, devido à natureza fragmentada do ecossistema Android, ainda existem muitos dispositivos Android que não receberam a atualização e permanecem vulneráveis a ela. O mais assustador é que um novo malware para Android chamado ZNIU foi descoberto apenas alguns dias atrás e está explorando a vulnerabilidade Dirty Cow. Neste artigo, examinaremos detalhadamente a vulnerabilidade Dirty Cow e como ela está sendo abusada no Android por malware ZNIU.
O que é a vulnerabilidade da vaca suja?
Como mencionado acima, a vulnerabilidade Dirty Cow é um tipo de exploração de escalonamento de privilégios que pode ser usado para conceder privilégio de superusuário para ninguém. Basicamente, ao usar esta vulnerabilidade, qualquer usuário com intenção maliciosa pode conceder a si mesmo um privilégio de superusuário, tendo assim um acesso root completo ao dispositivo da vítima. Obter o acesso root ao dispositivo da vítima fornece ao invasor controle total sobre o dispositivo e ele pode extrair todos os dados armazenados no dispositivo, sem que o usuário se torne mais sábio.
O que é o ZNIU e o que a vaca suja tem a ver com isso?
O ZNIU é o primeiro malware registrado para Android que utiliza a vulnerabilidade Dirty Cow para atacar dispositivos Android. O malware usa a vulnerabilidade Dirty Cow para obter acesso root aos dispositivos da vítima. Atualmente, foi detectado que o malware está escondido em mais de 1200 aplicativos pornográficos e jogos adultos. No momento da publicação deste artigo, mais de 5000 usuários em 50 países foram afetados por ele.
Quais dispositivos Android são vulneráveis ao ZNIU?
Após a descoberta da vulnerabilidade Dirty Cow (outubro de 2016), o Google lançou um patch em dezembro de 2016 para corrigir esse problema. No entanto, o Foi lançado o patch para dispositivos Android em execução no Android KitKat (4.4) ou acima. De acordo com a divisão da distribuição do sistema operacional Android pelo Google, mais de 8% dos smartphones Android ainda estão em execução em versões inferiores do Android. Daqueles que executam o Android 4.4 ao Android 6.0 (Marshmallow), apenas os dispositivos seguros que receberam e instalaram o patch de segurança de dezembro para seus dispositivos.
São muitos dispositivos Android com potencial para serem explorados. No entanto, as pessoas podem se consolar com o fato de o ZNIU estar usando uma versão um pouco modificada da vulnerabilidade Dirty Cow e, portanto, foi considerado bem-sucedido apenas nos dispositivos Android que usam o Arquitetura de 64 bits ARM / X86. Ainda assim, se você é um proprietário do Android, seria melhor verificar se você instalou o patch de segurança de dezembro ou não.
ZNIU: Como funciona?
Depois que o usuário faz o download de um aplicativo mal-intencionado que foi infectado pelo malware ZNIU, ao iniciar o aplicativo, o O malware ZNIU entrará em contato e se conectará automaticamente ao seu comando e controle (C&C) servidores para obter atualizações, se disponíveis. Depois de se atualizar, ele utilizará a exploração de escalonamento de privilégios (Dirty Cow) para obter o acesso root ao dispositivo da vítima. Depois de ter acesso root ao dispositivo, ele coletar as informações do usuário do dispositivo.
Atualmente, o malware está usando as informações do usuário para entrar em contato com a operadora de rede da vítima, se passando por ele mesmo. Uma vez autenticado, ele realizará Micro-transações baseadas em SMS e cobrar pagamento através do serviço de pagamento da transportadora. O malware é inteligente o suficiente para excluir todas as mensagens do dispositivo após a realização das transações. Assim, a vítima não tem idéia sobre as transações. Geralmente, as transações são realizadas por valores muito pequenos (US $ 3 / mês). Essa é outra precaução tomada pelo atacante para garantir que a vítima não descubra as transferências de fundos.
Após o rastreamento das transações, verificou-se que o dinheiro foi transferido para uma empresa fictícia sediada na China. Como as transações baseadas em operadoras não estão autorizadas a transferir dinheiro internacionalmente, apenas os usuários afetados na China sofrerão com essas transações ilegais. No entanto, os usuários fora da China ainda terão o malware instalado no dispositivo, que pode ser ativado a qualquer momento remotamente, tornando-os possíveis alvos. Mesmo que as vítimas internacionais não sofram transações ilegais, o backdoor oferece ao invasor a chance de injetar mais códigos maliciosos no dispositivo.
Como salvar-se do malware ZNIU
Escrevemos um artigo completo sobre a proteção do seu dispositivo Android contra malware, que você pode ler clicando aqui. O básico é usar o bom senso e não instalar os aplicativos de fontes não confiáveis. Mesmo no caso do malware ZNIU, vimos que o malware é entregue ao celular da vítima quando instalam aplicativos pornográficos ou de jogos para adultos, feitos por desenvolvedores não confiáveis. Para se proteger contra esse malware específico, verifique se o seu dispositivo está com o patch de segurança atual do Google. A exploração foi corrigida com o patch de segurança de dezembro (2016) do Google; portanto, qualquer pessoa que possua esse patch instalado está protegida contra o malware ZNIU. Ainda assim, dependendo do seu OEM, você pode não ter recebido a atualização; portanto, é sempre melhor estar ciente de todos os riscos e tomar as precauções necessárias do seu lado. Mais uma vez, tudo o que você deve ou não fazer para evitar que o seu dispositivo seja infectado por um malware é mencionado no artigo acima..
VEJA TAMBÉM: Malwarebytes para Mac Review: você deve usá-lo?
Proteja seu Android de ser infectado por malware
Nos últimos anos, houve um aumento nos ataques de malware no Android. A vulnerabilidade Dirty Cow foi uma das maiores explorações já descobertas e é horrível ver como o ZNIU está explorando essa vulnerabilidade. O ZNIU é especialmente preocupante devido à extensão dos dispositivos afetados e ao controle irrestrito que concede ao invasor. No entanto, se você estiver ciente dos problemas e tomar as precauções necessárias, seu dispositivo estará protegido contra esses ataques potencialmente perigosos. Portanto, primeiro certifique-se de atualizar os patches de segurança mais recentes do Google assim que obtê-los e, em seguida, mantenha-se afastado de aplicativos, arquivos e links não confiáveis e suspeitos. O que você acha que deve fazer para proteger o dispositivo contra ataques de malware. Deixe-nos saber seus pensamentos sobre o assunto, soltando-os na seção de comentários abaixo.