Dirty COW, arma per un nuovo malware su Android

Identificata una nuova minaccia contro i gadget mobile basati sull'OS di Google ma non aggiornati, costretti a fare i conti con una vulnerabilità vecchia di anni. Le app infette non sono, fortunatamente, finite sullo store Play

Roma – Gli analisti di Trend Micro tornano a parlare di Dirty COW , famigerata vulnerabilità 0-day presente all’interno del kernel Linux e passata inosservata per la bellezza di nove anni . La falla è ancora attivamente sfruttata dai cyber-criminali, e in particolare da chi ha creato una nuova genìa di malware che la security enterprise giapponese ha classificato come ZNIU .

Dirty COW permette di elevare i privilegi di un qualsiasi utente fino ad ottenere l’accesso “root” di un dispositivo, ed è una di quelle vulnerabilità “sistemiche” che coinvolgono qualsiasi software o sistema operativo basato sul kernel del Pinguino. Nel caso ZNIU, il bersaglio è rappresentato dai gadget mobile dell’ecosistema Android non aggiornati .

ZNIU è in grado di compromettere i dispositivi Android privi della patch anti-Dirty COW rilasciata a novembre 2016, e una volta ottenuto il controllo completo di un gadget gli ignoti cyber-criminali provvedono a impiantare una backdoor che agisce alle spalle dell’utente, ignaro di tutto.


La backdoor di ZNIU è in grado di raccogliere informazioni sul dispositivo infetto, e nel caso in cui quest’ultimo si trovasse in Cina si passa alla seconda fase dell’attacco: il gadget viene forzatamente abbonato ai servizi SMS “premium”, a tutto beneficio di una compagnia attiva sul territorio locale.

I ricercatori hanno identificato circa 5.000 utenti infetti da ZNIU , anche se non si tratta dell’intera popolazione di gadget Android ma solo di quelli che usano il software di protezione di Trend Micro; le app progettate per veicolare l’infezione sono più di 1.200 , e fortunatamente nessuna di essa risulta al momento disponibile sullo store ufficiale di Google (Play).

Un’altra particolarità di ZNIU degna di nota riguarda infine il comparto tecnico, visto che il malware usa un exploit per Dirty COW diverso da quello reso l’anno scorso; il codice funziona solo su SoC con architetture mobile (ARM, x86) a 64-bit, mentre nel caso dei chip a 32-bit il malware utilizza altri tipi di exploit per compromettere Android.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ... scrive:
    E la cosa bella
    È che nessuno verrà condannato ad alcunché per aver trattato dati privati e e sensibili di clienti e cittadini con la stessa attenzione che si dà alla lista della spesa. Per cui continerà ad accadere, anzi sarà sempre peggio.
  • bubba scrive:
    beh quella dell'agenzia delle entrate e'
    beh quella dell'agenzia delle entrate e' grossa. Magari potevate fare un articolo decente (invece che sull'americana deloitte)......Quelli in sogei andrebbero fustigati.... si legge che chiunque con credenziali entratel (e quali altre?) poteva consultare la posizione fiscale altrui usando quel C.F. .... se il C.F. era di un intermediario tributarista tutte le posizioni dei clienti....
Chiudi i commenti