Dado que Linux es un proyecto de código abierto, es difícil encontrar fallas de seguridad en su código fuente, ya que miles de usuarios continúan revisando y solucionando el mismo. Debido a este enfoque proactivo, incluso cuando se descubre un defecto, se soluciona de inmediato. Es por eso que fue tan sorprendente cuando se descubrió un exploit el año pasado que ha escapado a la rigurosa diligencia debida de todos los usuarios durante los últimos 9 años. Sí, lo has leído bien, aunque el exploit se descubrió en octubre de 2016, había existido dentro del código del kernel de Linux desde los últimos 9 años. Este tipo de vulnerabilidad, que es un tipo de error de escalado de privilegios, se conoce como la vulnerabilidad de la vaca sucia (número de catálogo de errores del kernel de Linux - CVE-2016-5195).
Aunque esta vulnerabilidad fue parcheada para Linux una semana después de su descubrimiento, dejó a todos los dispositivos Android vulnerables a esta vulnerabilidad (Android se basa en el kernel de Linux). El parche de Android siguió en diciembre de 2016, sin embargo, debido a la naturaleza fragmentada del ecosistema de Android, todavía hay muchos dispositivos Android que no han recibido la actualización y siguen siendo vulnerables a él. Lo que es más aterrador es que hace unos días se descubrió un nuevo malware para Android denominado ZNIU, que está explotando la vulnerabilidad de la vaca sucia. En este artículo, analizaremos en profundidad la vulnerabilidad de la Vaca Sucia y cómo el malware ZNIU está abusando de ella en Android.
¿Qué es la vulnerabilidad de la vaca sucia?
Como se mencionó anteriormente, la vulnerabilidad de la Vaca Sucia es un tipo de explotación de escalada de privilegios que se puede usar para otorgar privilegios de superusuario a cualquier persona. Básicamente, al usar esta vulnerabilidad, cualquier usuario con intenciones maliciosas puede otorgarse un privilegio de superusuario, por lo que tiene un acceso completo a la raíz del dispositivo de la víctima. Obtener el acceso de la raíz al dispositivo de la víctima le da al atacante control total sobre el dispositivo y puede extraer todos los datos almacenados en el dispositivo, sin que el usuario se vuelva más sabio.
¿Qué es ZNIU y qué tiene que ver la vaca sucia con eso?
ZNIU es el primer malware registrado para Android que utiliza la vulnerabilidad de la vaca sucia para atacar dispositivos Android. El malware utiliza la vulnerabilidad de la vaca sucia para obtener acceso de root a los dispositivos de la víctima. Actualmente, se ha detectado que el malware se oculta en más de 1200 juegos pornográficos y aplicaciones para adultos. Al momento de publicar este artículo, se ha encontrado que más de 5000 usuarios en 50 países se han visto afectados por él.
¿Qué dispositivos Android son vulnerables a ZNIU?
Después del descubrimiento de la vulnerabilidad de la vaca sucia (octubre de 2016), Google lanzó un parche en diciembre de 2016 para solucionar este problema. Sin embargo, el parche se lanzó para dispositivos Android que se ejecutaban en Android KitKat (4.4) o superior. Según la ruptura de la distribución del sistema operativo Android de Google, más del 8% de los teléfonos inteligentes Android todavía se ejecutan en versiones más bajas de Android. De los que se ejecutan en Android 4.4 a Android 6.0 (Marshmallow), solo los dispositivos son seguros que han recibido e instalado el parche de seguridad de diciembre para sus dispositivos.
Eso es un montón de dispositivos Android que tienen el potencial de ser explotados. Sin embargo, People puede sentirse aliviado por el hecho de que ZNIU está utilizando una versión un tanto modificada de la vulnerabilidad de la Vaca Sucia y, por lo tanto, se ha encontrado que es exitoso solo en aquellos dispositivos Android que utilizan la arquitectura ARM / X86 de 64 bits . Sin embargo, si es propietario de Android, sería mejor verificar si ha instalado el parche de seguridad de diciembre o no.
ZNIU: ¿Cómo funciona?
Después de que el usuario haya descargado una aplicación maliciosa que ha sido infectada con malware ZNIU, cuando inicie la aplicación, el malware ZNIU se contactará automáticamente y se conectará a sus servidores de comando y control (C&C) para obtener las actualizaciones, si están disponibles. Una vez que se haya actualizado, utilizará el exploit de escalado de privilegios (Vaca sucia) para obtener acceso de root al dispositivo de la víctima. Una vez que tenga acceso de root al dispositivo, cosechará la información del usuario del dispositivo .
Actualmente, el malware está utilizando la información del usuario para ponerse en contacto con el operador de la red de la víctima haciéndose pasar por el usuario mismo. Una vez autenticado, llevará a cabo micro-transacciones basadas en SMS y cobrará el pago a través del servicio de pago del operador. El malware es lo suficientemente inteligente como para eliminar todos los mensajes del dispositivo después de que las transacciones hayan tenido lugar. Por lo tanto, la víctima no tiene idea de las transacciones. En general, las transacciones se realizan por montos muy pequeños ($ 3 / mes). Esta es otra precaución que toma el atacante para asegurarse de que la víctima no descubra las transferencias de fondos.
Después de rastrear las transacciones, se encontró que el dinero fue transferido a una compañía ficticia con sede en China . Dado que las transacciones basadas en operadores no están autorizadas para transferir dinero a nivel internacional, solo los usuarios afectados en China sufrirán estas transacciones ilegales. Sin embargo, los usuarios fuera de China seguirán teniendo el malware instalado en su dispositivo, que puede activarse en cualquier momento de forma remota, lo que los convierte en posibles objetivos. Incluso si las víctimas internacionales no sufren transacciones ilegales, la puerta trasera le da al atacante la oportunidad de inyectar más código malicioso en el dispositivo.
Cómo salvarse del malware de ZNIU
Hemos escrito un artículo completo sobre la protección de su dispositivo Android contra el malware, que puede leer haciendo clic aquí. Lo básico es usar el sentido común y no instalar las aplicaciones de fuentes no confiables. Incluso en el caso del malware ZNIU, hemos visto que el malware se envía al móvil de la víctima cuando instalan aplicaciones pornográficas o de juegos para adultos, creadas por desarrolladores no confiables. Para protegerse contra este malware específico, asegúrese de que su dispositivo se encuentre en el parche de seguridad actual de Google. El parche fue parcheado con el parche de seguridad de diciembre (2016) de Google, por lo tanto, cualquier persona que tenga ese parche instalado está a salvo del malware ZNIU. Sin embargo, dependiendo de su OEM, es posible que no haya recibido la actualización, por lo tanto, siempre es mejor estar al tanto de todos los riesgos y tomar las precauciones necesarias de su parte. Una vez más, todo lo que debe y no debe hacer para evitar que su dispositivo se infecte con un malware se menciona en el artículo que está vinculado anteriormente.
Protege tu Android de ser infectado por el malware
El último par de años ha visto un aumento en los ataques de malware en Android. La vulnerabilidad de la Vaca Sucia fue una de las mayores hazañas que se haya descubierto y ver cómo ZNIU explota esta vulnerabilidad es simplemente horrible. ZNIU es especialmente preocupante debido a la cantidad de dispositivos que impacta y al control sin restricciones que otorga al atacante. Sin embargo, si está al tanto de los problemas y toma las precauciones necesarias, su dispositivo estará a salvo de estos ataques potencialmente peligrosos. Por lo tanto, primero asegúrese de actualizar los últimos parches de seguridad de Google tan pronto como los reciba, y luego manténgase alejado de aplicaciones, archivos y enlaces no confiables y sospechosos. ¿Qué crees que deberías hacer para proteger su dispositivo contra los ataques de malware? Háganos saber sus pensamientos sobre el tema al dejarlos caer en la sección de comentarios a continuación.
