Se encuentra el primer malware de Android que explota la falla sucia de Linux de la VACA para obtener privilegios de raíz

sucio-vaca-android-malware

Casi un a√Īo despu√©s de la divulgaci√≥n de la vulnerabilidad Dirty COW que afect√≥ al kernel de Linux, los cibercriminales comenzaron a explotar la vulnerabilidad contra los usuarios de Android, advirtieron los investigadores.

Divulgado p√ļblicamente el a√Īo pasado en octubre, Dirty COW estuvo presente en una secci√≥n del kernel de Linux, una parte de pr√°cticamente todas las distribuciones de Linux, incluidas Red Hat, Debian y Ubuntu, durante a√Īos y fue explotado activamente en la naturaleza.

La vulnerabilidad permite que un atacante local sin privilegios obtenga acceso a la raíz a través de un problema de condición de carrera, obtenga acceso a archivos ejecutables propiedad de raíz de solo lectura y permita ataques remotos.

Sin embargo, los investigadores de seguridad de Trend Micro publicaron una publicación de blog el lunes que revela que la vulnerabilidad de escalada de privilegios (CVE-2016-5195), conocida como Dirty COW, ahora ha sido explotada activamente por una muestra de malware de ZNIU, detectada como AndroidOS_ZNIU.

Esta es la primera vez que vemos una muestra de malware que contiene un exploit para la vulnerabilidad dise√Īada para comprometer los dispositivos que se ejecutan en la plataforma m√≥vil.

Esta haza√Īa de vaca sucia que se encuentra en Over 1, 200 aplicaciones de Android

El malware utiliza el exploit Dirty COW para rootear dispositivos Android a trav√©s del mecanismo de copia en escritura (COW) en el kernel de Linux de Android e instala una puerta trasera que los atacantes pueden usar para recopilar datos y generar ganancias a trav√©s de un n√ļmero de tel√©fono de tarifa premium.

Los investigadores de Trend Micro detectaron el malware ZNIU en más de 1, 200 aplicaciones maliciosas de Android, algunas de las cuales se disfrazaron de aplicaciones de pornografía y juegos, junto con sitios web host que contienen rootkits de malware que explotan Dirty Cow.

Si bien la falla de Dirty Cow afecta a todas las versiones del sistema operativo Android, el exploit Dirty Cow de ZNIU solo afecta a los dispositivos Android con arquitectura ARM / X86 de 64 bits. Sin embargo, el reciente exploit se puede usar para evitar SELinux y plantar puertas traseras.

“Supervisamos seis rootkits ZNIU, cuatro de los cuales eran exploits Dirty COW. Los otros dos eran KingoRoot, una aplicaci√≥n de rooteo, y el exploit Iovyroot (CVE-2015-1805)”, dijeron los investigadores.

“ZNIU us√≥ KingoRoot e Iovyroot porque pueden rootear dispositivos de CPU ARM de 32 bits, que el rootkit para Dirty COW no puede”.

Así es como funciona el exploit Dirty Cow de ZNIU

dirty-cow-android-malware

Una vez descargada e instalada, la aplicaci√≥n portadora de malware ZNIU se comunica con su servidor de comando y control (C&C) para verificar las actualizaciones de c√≥digo, mientras que simult√°neamente el exploit Dirty Cow proporciona escalada de privilegios locales para obtener acceso a la ra√≠z en el dispositivo, eludiendo las restricciones del sistema y “plantar una puerta trasera para posibles ataques de control remoto en el futuro”.

El malware también recopila la información del operador del usuario e intenta enviar pagos a través de mensajes SMS premium que fueron dirigidos a una empresa ficticia en China.

Una vez que finaliza la transacción de SMS, el malware también elimina los mensajes del dispositivo para borrar la evidencia de cualquier compromiso.

Los investigadores encontraron que el malware ya ha infectado m√°s de 5, 000 usuarios de Android en 40 pa√≠ses en las √ļltimas semanas, con la mayor√≠a de las v√≠ctimas encontradas en China e India, mientras que otras residen en Estados Unidos, Jap√≥n, Canad√°, Alemania e Indonesia.

Google ha lanzado una actualización para Android que, entre otras correcciones, corrige oficialmente la vulnerabilidad Dirty COW. El gigante tecnológico también confirmó que su Jugar proteger ahora protege a los usuarios de Android contra este malware.

La forma m√°s f√°cil de evitar que te ataquen este tipo de malware inteligente es evitar la descarga de aplicaciones de fuentes de terceros y siempre ce√Īirte al oficial Google Play Store.