ZNIU, el primer malware para Android que explota la vulnerabilidad Dirty Cow

Share this…

Android es el sistema operativo más utilizado en todo el mundo, y por ello también es uno de los principales objetivos de los piratas informáticos a la hora de llevar a cabo sus ataques informáticos. A pesar de las actualizaciones que todos los meses llegan a este sistema, debido a la fragmentación y a la nefasta gestión de las actualizaciones que realiza Google de su sistema operativo (ya que solo una minoría recibe estos parches de seguridad), muchos usuarios quedan expuestos ante todo tipo de fallos de seguridad, fallos que, pese a tener más de un año de antigüedad, los piratas informáticos consiguen explotar mediante distintas piezas de malware, como acaba de ocurrir con el conocido Dirty Cow.

Dirty Cow es una vulnerabilidad que lleva presente desde hace más de 10 años en los sistemas Linux, aunque no se dio a conocer hasta hace un año, en octubre de 2016. Este fallo de seguridad, registrado como CVE-2016-5195, se debe, a grandes rasgos, a que el Kernel de Linux guarda una copia de los datos sensibles del usuario en la memoria en lugar de eliminarla debido a un orden incorrecto al procesar determinadas peticiones.

Aprovechando este fallo de seguridad, un atacante puede aumentar su nivel de privilegio en el sistema hasta llegar a ser “root”, así como modificar los archivos binarios del sistema o asignarles sus propios permisos. Como Android está basado en Linux, el sistema operativo de Google también es vulnerable a este fallo de seguridad y, explotándolo correctamente, es posible llegar incluso a hacer root a cualquier smartphone vulnerable, aunque, por raro que parezca, no se ha visto ningún malware ni ninguna herramienta que se aproveche de este fallo para esta tarea, hasta ahora.

Un año más tarde aparece el primer malware para Android que explota la vulnerabilidad Dirty Cow

La empresa de seguridad Trend Micro acaba de encontrar, casi un año más tarde de su detección, las primeras muestras de malware para Android que explotan la vulnerabilidad Dirty Cow para conseguir permisos de root en los dispositivos vulnerables. Según la empresa de seguridad, este malware ha sido detectado en más de 40 países de todo el mundo, aunque las zonas más afectadas con China e India.

Por el momento, se han encontrado más de 1200 aplicaciones que ocultan este malware en su interior, aplicaciones de todo tipo, desde juegos hasta apps relacionadas con la pornografía. Todas ellas, eso sí, distribuidas a través de tiendas de aplicaciones no oficiales.

Aunque en un principio se creía que todo tipo de arquitecturas eran vulnerables, el malware ZNIU solo afecta a arquitecturas ARM/X86 64-bit. Mientras que los piratas informáticos han creado 4 exploits diferentes para poder comprometer la mayoría de los dispositivos del mercado con estas arquitecturas, dentro de las aplicaciones maliciosas también se han encontrado exploits de KingoRoot, la conocida aplicación para hacer root a los dispositivos, garantizando que ya sea gracias a Dirti Cow o a cualquier otro exploit, el root se va a poder llevar a cabo.

 

Cómo protegernos de ZNIU y la vulnerabilidad Dirty Cow en Android

Como hemos dicho, Dirty Cow lleva un año descubierta y solucionada en los principales dispositivos Android. Google, por su parte, solucionó la vulnerabilidad con los parches de seguridad publicados en enero de 2017, por lo que si nuestro dispositivo cuenta con estos parches de seguridad, probablemente esté protegido frente a esta vulnerabilidad.

Si nuestro Android no ha recibido esta actualización de seguridad, es muy probable que seamos vulnerables a Dirty Cow, y en ese caso, la mejor forma de protegernos es evitar descargar e instalar aplicaciones ni programas desde tiendas de aplicaciones no oficiales, evitando que este malware llegue así a nuestro dispositivo.

Fuente:https://www.redeszone.net/2017/09/26/zniu-malware-android-dirty-cow/