Oliver Matthews
0 
3160
778
Poiché Linux è un progetto open source, è difficile trovare difetti di sicurezza nel suo codice sorgente poiché migliaia di utenti continuano a controllare e correggere lo stesso. Grazie a questo approccio proattivo, anche quando viene scoperto un difetto, viene immediatamente corretto. Ecco perché è stato così sorprendente scoprire un exploit l'anno scorso che è sfuggito alla rigorosa due diligence di tutti gli utenti negli ultimi 9 anni. Sì, hai letto bene, sebbene l'exploit sia stato scoperto nell'ottobre 2016, esisteva all'interno del codice del kernel Linux da 9 anni. Questo tipo di vulnerabilità, che è un tipo di bug di escalation di privilegi, è noto come vulnerabilità di Dirty Cow (numero di catalogo bug del kernel Linux - CVE-2016-5195).
Sebbene questa vulnerabilità sia stata patchata per Linux una settimana dopo la sua scoperta, ha lasciato tutti i dispositivi Android vulnerabili a questo exploit (Android si basa sul kernel Linux). La patch Android seguita a dicembre 2016, tuttavia, a causa della natura frammentata dell'ecosistema Android, ci sono ancora molti dispositivi Android che non hanno ricevuto l'aggiornamento e rimangono vulnerabili ad esso. La cosa più spaventosa è che un nuovo malware Android chiamato ZNIU è stato scoperto solo un paio di giorni fa e sta sfruttando la vulnerabilità di Dirty Cow. In questo articolo, daremo uno sguardo approfondito alla vulnerabilità di Dirty Cow e al modo in cui viene abusato su Android dal malware ZNIU.
Che cos'è la vulnerabilità della mucca sporca?
Come accennato in precedenza, la vulnerabilità di Dirty Cow è un tipo di exploit di escalation di privilegi che può essere utilizzato per concedere il privilegio di superutente ad ognuno. Fondamentalmente, usando questa vulnerabilità qualsiasi utente con intenzioni dannose può concedersi un privilegio di superutente, avendo così un accesso root completo al dispositivo di una vittima. Ottenere l'accesso root al dispositivo di una vittima offre all'aggressore il pieno controllo del dispositivo e può estrarre tutti i dati memorizzati sul dispositivo, senza che l'utente diventi più saggio.
Che cos'è ZNIU e che cosa c'entra la mucca sporca?
ZNIU è il primo malware registrato per Android che utilizza la vulnerabilità di Dirty Cow per attaccare i dispositivi Android. Il malware utilizza la vulnerabilità di Dirty Cow per ottenere l'accesso root ai dispositivi della vittima. Attualmente, è stato rilevato che il malware si nasconde in oltre 1200 app di giochi e pornografiche per adulti. Al momento della pubblicazione di questo articolo, ne sono risultati colpiti oltre 5000 utenti in 50 paesi.
Quali dispositivi Android sono vulnerabili a ZNIU?
Dopo la scoperta della vulnerabilità di Dirty Cow (ottobre 2016), Google ha rilasciato una patch a dicembre 2016 per risolvere questo problema. comunque, il patch rilasciata per dispositivi Android in esecuzione su Android KitKat (4.4) o sopra. Secondo la rottura della distribuzione del sistema operativo Android da parte di Google, oltre l'8% degli smartphone Android è ancora in esecuzione su versioni inferiori di Android. Di quelli che funzionano su Android 4.4 e Android 6.0 (Marshmallow), sono sicuri solo quei dispositivi che hanno ricevuto e installato la patch di sicurezza di dicembre per i loro dispositivi.
Ci sono molti dispositivi Android che hanno il potenziale per essere sfruttati. Tuttavia, le persone possono trovare conforto nel fatto che ZNIU sta usando una versione in qualche modo modificata della vulnerabilità di Dirty Cow e quindi è stato riscontrato che ha successo solo con quei dispositivi Android che utilizzano il Architettura ARM / X86 a 64 bit. Tuttavia, se sei un proprietario Android, sarebbe meglio verificare se hai installato la patch di sicurezza di dicembre o meno.
ZNIU: Come funziona?
Dopo che l'utente ha scaricato un'app dannosa che è stata infettata da malware ZNIU, all'avvio dell'app, il Il malware ZNIU contatterà e si connetterà automaticamente al suo comando e controllo (C&C) server per ottenere eventuali aggiornamenti se disponibili. Una volta che si è aggiornato, utilizzerà l'exploit escalazione di privilegi (Dirty Cow) per ottenere l'accesso root al dispositivo della vittima. Una volta che ha accesso root al dispositivo, lo farà raccogliere le informazioni dell'utente dal dispositivo.
Attualmente, il malware utilizza le informazioni dell'utente per contattare il gestore di rete della vittima ponendosi come l'utente stesso. Una volta autenticato lo farà Micro-transazioni basate su SMS e riscuotere il pagamento tramite il servizio di pagamento del corriere. Il malware è abbastanza intelligente da eliminare tutti i messaggi dal dispositivo dopo che le transazioni sono state eseguite. Pertanto, la vittima non ha idea delle transazioni. In genere, le transazioni vengono eseguite per importi molto piccoli ($ 3 / mese). Questa è un'altra precauzione adottata dall'aggressore per garantire che la vittima non scopra i trasferimenti di fondi.
Dopo aver tracciato le transazioni, si è riscontrato che il file il denaro è stato trasferito a una società fittizia con sede in Cina. Poiché le transazioni basate sul vettore non sono autorizzate a trasferire denaro a livello internazionale, solo gli utenti interessati in Cina soffriranno di tali transazioni illegali. Tuttavia, gli utenti al di fuori della Cina avranno ancora il malware installato sul proprio dispositivo che può essere attivato in qualsiasi momento da remoto, rendendoli potenziali obiettivi. Anche se le vittime internazionali non soffrono di transazioni illegali, la backdoor offre all'aggressore la possibilità di iniettare più codice dannoso nel dispositivo.
Come salvarsi dal malware ZNIU
Abbiamo scritto un intero articolo sulla protezione del tuo dispositivo Android da malware, che puoi leggere facendo clic qui. La cosa fondamentale è usare il buon senso e non installare le app da fonti non attendibili. Anche nel caso del malware ZNIU, abbiamo visto che il malware viene consegnato sul cellulare della vittima quando installano app di giochi pornografici o per adulti, che sono realizzate da sviluppatori non fidati. Per proteggerti da questo specifico malware, assicurati che il tuo dispositivo sia sulla patch di sicurezza corrente di Google. L'exploit è stato patchato con la patch di sicurezza di Google di dicembre 2016, quindi chiunque abbia quella patch installata è al sicuro dal malware ZNIU. Tuttavia, a seconda del tuo OEM, potresti non aver ricevuto l'aggiornamento, quindi è sempre meglio essere consapevoli di tutti i rischi e prendere le precauzioni necessarie dalla tua parte. Ancora una volta, tutto ciò che dovresti e non dovresti fare per evitare che il tuo dispositivo venga infettato da un malware è menzionato nell'articolo che è collegato sopra.
VEDERE ANCHE: Recensione di Malwarebytes per Mac: dovresti usarlo?
Proteggi il tuo Android dall'infezione da malware
Gli ultimi due anni hanno visto un aumento degli attacchi di malware su Android. La vulnerabilità di Dirty Cow è stato uno dei più grandi exploit che sia mai stato scoperto e vedere come ZNIU sta sfruttando questa vulnerabilità è semplicemente orribile. ZNIU è particolarmente preoccupante a causa dell'entità dei dispositivi che colpisce e del controllo illimitato che garantisce all'attaccante. Tuttavia, se si è consapevoli dei problemi e si prendono le precauzioni necessarie, il dispositivo sarà al sicuro da questi attacchi potenzialmente pericolosi. Quindi, per prima cosa assicurati di aggiornare le ultime patch di sicurezza di Google non appena le ricevi, quindi tieni lontano da app, file e collegamenti non attendibili e sospetti. Cosa pensi che si dovrebbe fare per proteggere il proprio dispositivo dagli attacchi di malware. Fateci sapere le vostre opinioni sull'argomento lasciandole cadere nella sezione commenti qui sotto.