Gadgetshowto
Poiché Linux è un progetto open source, è difficile trovare falle di sicurezza nel suo codice sorgente poiché migliaia di utenti continuano attivamente a controllare e correggere lo stesso. Grazie a questo approccio proattivo, anche quando viene scoperto un difetto, viene riparato immediatamente. Ecco perché è stato così sorprendente quando l'anno scorso è stato scoperto un exploit che è sfuggito alla rigorosa due diligence di tutti gli utenti negli ultimi 9 anni. Sì, avete letto bene, sebbene l'exploit sia stato scoperto nell'ottobre 2016, esisteva all'interno del codice del kernel Linux dagli ultimi 9 anni. Questo tipo di vulnerabilità, che è un tipo di bug di escalation dei privilegi, è noto come vulnerabilità Dirty Cow (numero di catalogo del bug del kernel Linux - CVE-2016-5195).
Sebbene questa vulnerabilità sia stata corretta per Linux una settimana dopo la sua scoperta, ha lasciato tutti i dispositivi Android vulnerabili a questo exploit (Android è basato sul kernel Linux). La patch di Android è seguita a dicembre 2016, tuttavia, a causa della natura frammentata dell'ecosistema Android, ci sono ancora molti dispositivi Android che non hanno ricevuto l'aggiornamento e rimangono vulnerabili ad esso. La cosa più spaventosa è che solo un paio di giorni fa è stato scoperto un nuovo malware Android chiamato ZNIU che sta sfruttando la vulnerabilità di Dirty Cow. In questo articolo, daremo uno sguardo approfondito alla vulnerabilità di Dirty Cow e al modo in cui viene abusato su Android dal malware ZNIU.
Cos'è la vulnerabilità della mucca sporca?
Come accennato in precedenza, la vulnerabilità di Dirty Cow è un tipo di Privilege escalation exploit che può essere utilizzato per concedere il privilegio di superutente ad ognuno. Fondamentalmente, utilizzando questa vulnerabilità qualsiasi utente con intenti dannosi può concedersi un privilegio di superutente, avendo così un accesso root completo al dispositivo di una vittima. Ottenere l'accesso root al dispositivo di una vittima offre all'aggressore il pieno controllo del dispositivo e può estrarre tutti i dati memorizzati sul dispositivo, senza che l'utente diventi più saggio.
Cos'è ZNIU e cosa c'entra la mucca sporca?
ZNIU è il primo malware registrato per Android che utilizza la vulnerabilità Dirty Cow per attaccare i dispositivi Android. Il malware utilizza la vulnerabilità Dirty Cow per ottenere l'accesso root ai dispositivi della vittima. Attualmente, è stato rilevato che il malware si nasconde in più di 1200 giochi per adulti e app pornografiche. Al momento della pubblicazione di questo articolo, è stato riscontrato che più di 5000 utenti in 50 paesi ne sono stati colpiti.
Quali dispositivi Android sono vulnerabili a ZNIU?
Dopo la scoperta della vulnerabilità Dirty Cow (ottobre 2016), Google ha rilasciato una patch a dicembre 2016 per risolvere questo problema. comunque, il la patch è stata rilasciata per i dispositivi Android che erano in esecuzione su Android KitKat (4.4) o sopra. Secondo la rottura della distribuzione del sistema operativo Android da parte di Google, oltre l'8% degli smartphone Android funziona ancora su versioni inferiori di Android. Di quelli che funzionano da Android 4.4 ad Android 6.0 (Marshmallow), sono sicuri solo i dispositivi che hanno ricevuto e installato la patch di sicurezza di dicembre per i loro dispositivi.
Sono molti dispositivi Android che hanno il potenziale per essere sfruttati. Tuttavia, le persone possono trarre conforto dal fatto che ZNIU sta utilizzando una versione leggermente modificata della vulnerabilità Dirty Cow e quindi è stato riscontrato che ha successo solo contro quei dispositivi Android che utilizzano il Architettura ARM / X86 a 64 bit. Tuttavia, se sei un proprietario di Android, sarebbe meglio controllare se hai installato o meno la patch di sicurezza di dicembre.
ZNIU: Come funziona?
Dopo che l'utente ha scaricato un'app dannosa che è stata infettata dal malware ZNIU, quando avvia l'app, il file Il malware ZNIU contatterà e si connetterà automaticamente al suo comando e controllo (C&C) server per ottenere eventuali aggiornamenti, se disponibili. Una volta aggiornato, utilizzerà l'exploit di escalation dei privilegi (Dirty Cow) per ottenere l'accesso root al dispositivo della vittima. Una volta che ha accesso root al dispositivo, lo farà raccogliere le informazioni dell'utente dal dispositivo.
Attualmente, il malware utilizza le informazioni dell'utente per contattare il gestore di rete della vittima fingendosi l'utente stesso. Una volta autenticato, verrà eseguito Micro-transazioni basate su SMS e riscuotere il pagamento tramite il servizio di pagamento del vettore. Il malware è abbastanza intelligente da eliminare tutti i messaggi dal dispositivo dopo che le transazioni sono state effettuate. Pertanto, la vittima non ha idea delle transazioni. Generalmente, le transazioni vengono effettuate per importi molto piccoli ($ 3 / mese). Questa è un'altra precauzione presa dall'aggressore per assicurarsi che la vittima non scopra i trasferimenti di fondi.
Dopo aver tracciato le transazioni, è stato riscontrato che il file il denaro è stato trasferito a una società fittizia con sede in Cina. Poiché le transazioni basate sul vettore non sono autorizzate a trasferire denaro a livello internazionale, solo gli utenti interessati in Cina subiranno queste transazioni illegali. Tuttavia, gli utenti al di fuori della Cina avranno ancora il malware installato sul proprio dispositivo che può essere attivato in qualsiasi momento da remoto, rendendoli potenziali bersagli. Anche se le vittime internazionali non subiscono transazioni illegali, la backdoor offre all'aggressore la possibilità di iniettare più codice dannoso nel dispositivo.
Come salvarti dal malware ZNIU
Abbiamo scritto un intero articolo sulla protezione del tuo dispositivo Android dal malware, che puoi leggere facendo clic qui. La cosa fondamentale è usare il buon senso e non installare le app da fonti non attendibili. Anche nel caso del malware ZNIU, abbiamo visto che il malware viene consegnato al cellulare della vittima quando installa app pornografiche o di gioco per adulti, realizzate da sviluppatori non affidabili. Per proteggerti da questo malware specifico, assicurati che sul tuo dispositivo sia installata la patch di sicurezza corrente di Google. L'exploit è stato corretto con la patch di sicurezza di dicembre (2016) di Google, quindi chiunque abbia quella patch installata è al sicuro dal malware ZNIU. Tuttavia, a seconda del tuo OEM, potresti non aver ricevuto l'aggiornamento, quindi è sempre meglio essere consapevoli di tutti i rischi e prendere le precauzioni necessarie da parte tua. Ancora una volta, tutto ciò che dovresti e non dovresti fare per evitare che il tuo dispositivo venga infettato da un malware è menzionato nell'articolo che è collegato sopra.
VEDERE ANCHE: Malwarebytes for Mac Review: dovresti usarlo?
Proteggi il tuo Android dall'infezione da malware
Negli ultimi due anni si è assistito a un aumento degli attacchi di malware su Android. La vulnerabilità di Dirty Cow è stata uno dei più grandi exploit mai scoperti e vedere come ZNIU sta sfruttando questa vulnerabilità è semplicemente orribile. ZNIU è particolarmente preoccupante a causa della portata dei dispositivi che impatta e del controllo illimitato che concede all'aggressore. Tuttavia, se sei a conoscenza dei problemi e prendi le precauzioni necessarie, il tuo dispositivo sarà al sicuro da questi attacchi potenzialmente pericolosi. Quindi, prima assicurati di aggiornare le ultime patch di sicurezza di Google non appena le ricevi, quindi tieniti lontano da app, file e collegamenti non attendibili e sospetti. Cosa pensi che si dovrebbe fare per proteggere il proprio dispositivo dagli attacchi di malware. Fateci sapere i vostri pensieri sull'argomento rilasciandoli nella sezione commenti qui sotto.
