Gadgetshowto
Dado que Linux es un proyecto de código abierto, es difícil encontrar fallas de seguridad en su código fuente, ya que miles de usuarios siguen revisando y solucionando activamente el mismo. Debido a este enfoque proactivo, incluso cuando se descubre una falla, se repara de inmediato. Por eso fue tan sorprendente cuando se descubrió un exploit el año pasado que ha escapado a la rigurosa diligencia debida de todos los usuarios durante los últimos 9 años. Sí, lo leíste bien, aunque el exploit se descubrió en octubre de 2016, existía dentro del código del kernel de Linux desde los últimos 9 años. Este tipo de vulnerabilidad, que es un tipo de error de escalada de privilegios, se conoce como vulnerabilidad Dirty Cow (número de catálogo de error del kernel de Linux: CVE-2016-5195).
Aunque esta vulnerabilidad fue parcheada para Linux una semana después de su descubrimiento, dejó a todos los dispositivos Android vulnerables a este exploit (Android está basado en el kernel de Linux). El parche de Android siguió en diciembre de 2016, sin embargo, debido a la naturaleza fragmentada del ecosistema de Android, todavía hay muchos dispositivos Android que no han recibido la actualización y siguen siendo vulnerables a ella. Lo que es más aterrador es que hace un par de días se descubrió un nuevo malware de Android denominado ZNIU que está explotando la vulnerabilidad Dirty Cow. En este artículo, analizaremos en profundidad la vulnerabilidad de Dirty Cow y cómo está siendo abusada en Android por el malware ZNIU..
¿Qué es la vulnerabilidad de las vacas sucias??
Como se mencionó anteriormente, la vulnerabilidad de la vaca sucia es un tipo de exploit de escalada de privilegios que se puede utilizar para conceder privilegios de superusuario a cualquiera. Básicamente, al utilizar esta vulnerabilidad, cualquier usuario con intenciones malintencionadas puede otorgarse un privilegio de superusuario, teniendo así un acceso completo de root al dispositivo de la víctima. Obtener el acceso de root al dispositivo de una víctima le da al atacante un control total sobre el dispositivo y puede extraer todos los datos almacenados en el dispositivo, sin que el usuario se vuelva más sabio..
¿Qué es ZNIU y qué tiene que ver la vaca sucia con él??
ZNIU es el primer malware registrado para Android que utiliza la vulnerabilidad Dirty Cow para atacar dispositivos Android. El malware utiliza la vulnerabilidad Dirty Cow para obtener acceso de root a los dispositivos de la víctima. Actualmente, se ha detectado que el malware se esconde en más de 1200 juegos para adultos y aplicaciones pornográficas. En el momento de publicar este artículo, más de 5000 usuarios en 50 países se han visto afectados por él..
¿Qué dispositivos Android son vulnerables a ZNIU??
Después del descubrimiento de la vulnerabilidad Dirty Cow (octubre de 2016), Google lanzó un parche en diciembre de 2016 para solucionar este problema. sin embargo, el se lanzó el parche para dispositivos Android que se ejecutaban en Android KitKat (4.4) o superior. Según la ruptura de la distribución del sistema operativo Android por parte de Google, más del 8% de los teléfonos inteligentes Android todavía se ejecutan en versiones inferiores de Android. De los que se ejecutan en Android 4.4 a Android 6.0 (Marshmallow), solo aquellos dispositivos que han recibido e instalado el parche de seguridad de diciembre para sus dispositivos son seguros..
Son muchos dispositivos Android que tienen el potencial de ser explotados. Sin embargo, la gente puede consolarse con el hecho de que ZNIU está usando una versión algo modificada de la vulnerabilidad Dirty Cow y, por lo tanto, se ha encontrado que tiene éxito solo contra aquellos dispositivos Android que usan Arquitectura ARM / X86 de 64 bits. Aún así, si es propietario de Android, sería mejor verificar si ha instalado el parche de seguridad de diciembre o no..
ZNIU: ¿Cómo funciona??
Una vez que el usuario ha descargado una aplicación maliciosa que ha sido infectada con el malware ZNIU, cuando inicia la aplicación, el El malware ZNIU se pondrá en contacto y se conectará automáticamente a su comando y control (C&C) servidores para obtener actualizaciones si están disponibles. Una vez que se haya actualizado, utilizará el exploit de escalada de privilegios (Dirty Cow) para obtener acceso de root al dispositivo de la víctima. Una vez que tenga acceso de root al dispositivo, recopilar la información del usuario del dispositivo.
Actualmente, el malware está utilizando la información del usuario para ponerse en contacto con el operador de red de la víctima haciéndose pasar por el propio usuario. Una vez autenticado se llevará a cabo Microtransacciones basadas en SMS y cobrar el pago a través del servicio de pago del transportista. El malware es lo suficientemente inteligente como para eliminar todos los mensajes del dispositivo después de que se hayan realizado las transacciones. Por lo tanto, la víctima no tiene idea de las transacciones. Generalmente, las transacciones se realizan por montos muy pequeños ($ 3 / mes). Esta es otra precaución tomada por el atacante para asegurarse de que la víctima no descubra las transferencias de fondos..
Después de rastrear las transacciones, se encontró que el el dinero se transfirió a una empresa ficticia con sede en China. Dado que las transacciones basadas en transportistas no están autorizadas para transferir dinero a nivel internacional, solo los usuarios afectados en China sufrirán estas transacciones ilegales. Sin embargo, los usuarios fuera de China seguirán teniendo el malware instalado en su dispositivo, que se puede activar en cualquier momento de forma remota, lo que los convierte en objetivos potenciales. Incluso si las víctimas internacionales no sufren transacciones ilegales, la puerta trasera le da al atacante la oportunidad de inyectar más código malicioso en el dispositivo..
Cómo salvarse del malware ZNIU
Hemos escrito un artículo completo sobre cómo proteger su dispositivo Android del malware, que puede leer haciendo clic aquí. Lo básico es usar el sentido común y no instalar las aplicaciones de fuentes no confiables. Incluso en el caso del malware ZNIU, hemos visto que el malware se envía al móvil de la víctima cuando instalan aplicaciones pornográficas o de juegos para adultos, creadas por desarrolladores que no son de confianza. Para protegerse contra este malware específico, asegúrese de que su dispositivo tenga el parche de seguridad actual de Google. El exploit fue parcheado con el parche de seguridad de diciembre (2016) de Google, por lo tanto, cualquiera que tenga ese parche instalado está a salvo del malware ZNIU. Aún así, dependiendo de su OEM, es posible que no haya recibido la actualización, por lo que siempre es mejor estar al tanto de todos los riesgos y tomar las precauciones necesarias por su parte. Nuevamente, todo lo que debe y no debe hacer para evitar que su dispositivo se infecte con un malware se menciona en el artículo que está vinculado anteriormente..
VEA TAMBIÉN: Revisión de Malwarebytes para Mac: ¿Debería usarlo??
Proteja su Android de ser infectado por malware
Los últimos años han visto un aumento en los ataques de malware en Android. La vulnerabilidad de Dirty Cow fue uno de los mayores exploits que se haya descubierto y ver cómo ZNIU está explotando esta vulnerabilidad es simplemente horrible. ZNIU es especialmente preocupante por la extensión de los dispositivos que impacta y el control ilimitado que otorga al atacante. Sin embargo, si conoce los problemas y toma las precauciones necesarias, su dispositivo estará a salvo de estos ataques potencialmente peligrosos. Por lo tanto, primero asegúrese de actualizar los últimos parches de seguridad de Google tan pronto los obtenga, y luego manténgase alejado de aplicaciones, archivos y enlaces sospechosos y no confiables. ¿Qué crees que debería hacer uno para proteger su dispositivo contra ataques de malware? Háganos saber sus pensamientos sobre el tema dejándolos en la sección de comentarios a continuación.
