ZNIU es el nombre del primer malware para Android que utiliza la vulnerabilidad Dirty COW para infectar a los usuarios
Dirty COW es una vulnerabilidad de elevación de privilegios en el kernel de Linux que salió a la luz el octubre de 2016. La vulnerabilidad permite a un atacante para elevar el privilegio de código de ataque a nivel de "raíz" y llevar a cabo operaciones maliciosos.El error Dirty COW existía en el código del kernel Linux desde hace nueve años, desde el año 2007. En el momento de su descubrimiento, Dirty COW era un día cero y los investigadores dijo que los atacantes usaron contra los servidores Linux. Un parche se libera inmediatamente.
A los pocos días después de su descubrimiento, los investigadores encontraron que Dirty COW podría ser utilizado para erradicar los dispositivos Android. Esto fue debido a que el sistema operativo Android se basa en una versión anterior del núcleo de Linux, también son susceptibles al exploit Dirty COW.Todas las versiones del sistema operativo Android se vieron afectados y Google lanzó un parche para Android en noviembre el año 2016.
Más detalles sobre Dirty COW están disponibles en este video de YouTube a continuación.
Los investigadores de seguridad de Trend Micro publicaron un informe el 25 de septiembre que detalla una nueva familia de malware llamado ZNIU que utiliza Dirty COW para erradicar los dispositivos y plantar una puerta trasera.
Los investigadores dicen que los atacantes utilizan esta puerta trasera para recopilar información sobre los dispositivos infectados. La segunda etapa del ataque ocurre sólo si el usuario se encuentra en China. Los atacantes utilizan el control total de las subvenciones de puerta trasera ellos sobre el dispositivo para suscribirse al usuario los números de SMS premium que benefician a una empresa local.
Trend Micro dice que descubrió más de 1.200 aplicaciones maliciosas que llevan ZNIU disponible a través de varios sitios web en línea. La mayor parte de las aplicaciones infectadas eran los juegos y la pornografía relacionada.
La compañía dice que ha detectado cerca de 5.000 usuarios infectados con el malware ZNIU, pero el número podría ser mayor ya que la empresa tenía la visibilidad sólo dentro de los dispositivos protegidos por su solución de seguridad móvil.
ZNIU hizo víctimas en 40 países, pero la mayor parte se encuentra en China e India.
A nivel técnico, ZNIU utiliza un Dirty COW de diferente forma a partir del código de prueba de concepto publicado por investigadores el 2016.Este Dirty COW código de explotación sólo funciona en dispositivos Android con ARM / X86 arquitectura de 64 bits. Cuando infecta los teléfonos Android con una arquitectura ARM CPU de 32 bits, ZNIU sería utilizar la aplicación de enraizamiento y la KingoRoot Iovyroot explotar (CVE-2015-1805) para tener acceso a nivel de raíz en lugar de VACA sucio.
Aplicaciones infectadas con ZNIU nunca llegaron a la tienda de Google Play. Para evitar exponerse al malware de cualquier tipo, los usuarios deben evitar la instalación de aplicaciones desde cualquier lugar fuera de la Play Store. El Play Store no es perfecto, pero a diferencia de la mayoría de las tiendas de aplicaciones subterráneas que realiza exploraciones básicas de seguridad.
Una lista con los nombres de los paquetes de todas las aplicaciones infectadas está disponible aquí.
Fecha actualización el 2021-9-26. Fecha publicación el 2017-9-26. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer