Dirty COW, arma per un nuovo malware su Android

Dirty COW, arma per un nuovo malware su Android

Identificata una nuova minaccia contro i gadget mobile basati sull'OS di Google ma non aggiornati, costretti a fare i conti con una vulnerabilità vecchia di anni. Le app infette non sono, fortunatamente, finite sullo store Play
Identificata una nuova minaccia contro i gadget mobile basati sull'OS di Google ma non aggiornati, costretti a fare i conti con una vulnerabilità vecchia di anni. Le app infette non sono, fortunatamente, finite sullo store Play

Gli analisti di Trend Micro tornano a parlare di Dirty COW , famigerata vulnerabilità 0-day presente all’interno del kernel Linux e passata inosservata per la bellezza di nove anni . La falla è ancora attivamente sfruttata dai cyber-criminali, e in particolare da chi ha creato una nuova genìa di malware che la security enterprise giapponese

[!] Ci sono problemi con l’autore. Controllare il mapping sull’Author Manager

ha classificato come ZNIU .

Dirty COW permette di elevare i privilegi di un qualsiasi utente fino ad ottenere l’accesso “root” di un dispositivo, ed è una di quelle vulnerabilità “sistemiche” che coinvolgono qualsiasi software o sistema operativo basato sul kernel del Pinguino. Nel caso ZNIU, il bersaglio è rappresentato dai gadget mobile dell’ecosistema Android non aggiornati .

ZNIU è in grado di compromettere i dispositivi Android privi della patch anti-Dirty COW rilasciata a novembre 2016, e una volta ottenuto il controllo completo di un gadget gli ignoti cyber-criminali provvedono a impiantare una backdoor che agisce alle spalle dell’utente, ignaro di tutto.


La backdoor di ZNIU è in grado di raccogliere informazioni sul dispositivo infetto, e nel caso in cui quest’ultimo si trovasse in Cina si passa alla seconda fase dell’attacco: il gadget viene forzatamente abbonato ai servizi SMS “premium”, a tutto beneficio di una compagnia attiva sul territorio locale.

I ricercatori hanno identificato circa 5.000 utenti infetti da ZNIU , anche se non si tratta dell’intera popolazione di gadget Android ma solo di quelli che usano il software di protezione di Trend Micro; le app progettate per veicolare l’infezione sono più di 1.200 , e fortunatamente nessuna di essa risulta al momento disponibile sullo store ufficiale di Google (Play).

Un’altra particolarità di ZNIU degna di nota riguarda infine il comparto tecnico, visto che il malware usa un exploit per Dirty COW diverso da quello reso l’anno scorso; il codice funziona solo su SoC con architetture mobile (ARM, x86) a 64-bit, mentre nel caso dei chip a 32-bit il malware utilizza altri tipi di exploit per compromettere Android.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 27 set 2017
Link copiato negli appunti