Etant donné que Linux est un projet open source, il est difficile de trouver des failles de sécurité dans son code source car des milliers d'utilisateurs continuent de vérifier et de corriger le problème de la même manière. En raison de cette approche proactive, même si une faille est découverte, elle est immédiatement corrigée. C’est pourquoi il était si surprenant qu’un exploit ait été découvert l’année dernière et qu’il échappe à la diligence raisonnable de tous les utilisateurs au cours des neuf dernières années. Oui, vous avez bien lu, bien que l'exploit ait été découvert en octobre 2016, il existait déjà dans le code du noyau Linux depuis 9 ans. Ce type de vulnérabilité, qui est un type de bogue d'élévation de privilèges, est appelée vulnérabilité Dirty Cow (numéro de catalogue du bogue dans le noyau Linux - CVE-2016-5195).
Bien que cette vulnérabilité ait été corrigée pour Linux une semaine après sa découverte, elle laissait tous les périphériques Android vulnérables à cet exploit (Android est basé sur le noyau Linux). La mise à jour d'Android a suivi en décembre 2016; toutefois, en raison de la nature fragmentée de l'écosystème Android, de nombreux appareils Android n'ont pas encore reçu la mise à jour et restent vulnérables. Ce qui est encore plus effrayant, c’est qu’un nouveau programme malveillant Android, baptisé ZNIU, a été découvert il ya quelques jours, exploitant la vulnérabilité de Dirty Cow. Dans cet article, nous examinerons en profondeur la vulnérabilité de Dirty Cow et son utilisation abusive sur Android par les logiciels malveillants ZNIU.
Quelle est la vulnérabilité d'une vache sale?
Comme mentionné ci-dessus, la vulnérabilité de Dirty Cow est un type d’ exploitation d’élévation de privilèges qui peut être utilisée pour accorder des privilèges de super-utilisateur à n’importe qui. Fondamentalement, en utilisant cette vulnérabilité, tout utilisateur mal intentionné peut s'octroyer un privilège de superutilisateur, ce qui lui donne un accès root complet au périphérique de la victime. Obtenir l'accès root sur le périphérique d'une victime donne à l'attaquant un contrôle total sur le périphérique. Il peut extraire toutes les données stockées sur le périphérique, sans que l'utilisateur ne devienne plus sage.
Qu'est-ce que ZNIU et quelle sale vache a à voir avec cela?
ZNIU est le premier malware enregistré pour Android qui utilise la vulnérabilité de Dirty Cow pour attaquer les appareils Android. Le logiciel malveillant utilise la vulnérabilité Dirty Cow pour obtenir un accès racine aux périphériques de la victime. Actuellement, le malware a été détecté dans plus de 1200 applications de jeux pour adultes et pornographiques. Au moment de la publication de cet article, plus de 5 000 utilisateurs de 50 pays en ont été affectés.
Quels appareils Android sont vulnérables à ZNIU?
Après la découverte de la vulnérabilité de Dirty Cow (octobre 2016), Google a publié un correctif en décembre 2016 pour résoudre ce problème. Toutefois, le correctif a été publié pour les appareils Android fonctionnant sous Android KitKat (4.4) ou supérieur. Selon la rupture de la distribution du système d'exploitation Android par Google, plus de 8% des smartphones Android fonctionnent toujours sur des versions inférieures d'Android. Parmi ceux fonctionnant sous Android 4.4 à Android 6.0 (Marshmallow), seuls les appareils sûrs ayant reçu et installé le correctif de sécurité de décembre pour leurs appareils.
C'est beaucoup d'appareils Android qui ont le potentiel d'être exploités. Cependant, les gens peuvent être rassurés par le fait que ZNIU utilise une version quelque peu modifiée de la vulnérabilité de Dirty Cow et que, par conséquent, elle ne fonctionne que contre les périphériques Android qui utilisent l' architecture ARM / X86 64 bits . Néanmoins, si vous êtes un propriétaire Android, il serait préférable de vérifier si vous avez installé le correctif de sécurité de décembre ou non.
ZNIU: Comment ça marche?
Une fois que l'utilisateur a téléchargé une application malveillante infectée par un programme malveillant ZNIU, il lance automatiquement cette application et se connecte automatiquement à ses serveurs de commande et de contrôle pour obtenir les mises à jour, le cas échéant. Une fois qu'il se sera mis à jour, il utilisera l'exploit sur l'ascension des privilèges (Dirty Cow) pour obtenir un accès root au périphérique de la victime. Une fois qu’il a un accès root au périphérique, il collecte les informations de l’utilisateur sur le périphérique .
Actuellement, le logiciel malveillant utilise les informations de l'utilisateur pour contacter le support réseau de la victime en se faisant passer pour l'utilisateur lui-même. Une fois authentifié, il effectuera des micro-transactions par SMS et collectera le paiement via le service de paiement du transporteur. Le malware est suffisamment intelligent pour supprimer tous les messages de l'appareil une fois les transactions effectuées. Ainsi, la victime n'a aucune idée des transactions. Généralement, les transactions sont effectuées pour de très petites quantités (3 $ / mois). C'est une autre précaution prise par l'agresseur pour s'assurer que la victime ne découvre pas les transferts de fonds.
Après avoir suivi les transactions, il a été constaté que l’ argent avait été transféré à une société factice basée en Chine . Etant donné que les transactions avec un opérateur ne sont pas autorisées à transférer de l'argent à l'international, seuls les utilisateurs concernés en Chine subiront ces transactions illégales. Cependant, les utilisateurs situés en dehors de la Chine auront toujours sur leur appareil le logiciel malveillant installé, qui peut être activé à tout moment à distance, ce qui en fait des cibles potentielles. Même si les victimes internationales ne souffrent pas de transactions illégales, la porte dérobée donne à l’attaquant une chance d’injecter plus de code malveillant dans l’appareil.
Comment vous sauver de ZNIU Malware
Nous avons rédigé un article complet sur la protection de votre appareil Android contre les logiciels malveillants, que vous pouvez lire en cliquant ici. L'essentiel est d'utiliser le bon sens et de ne pas installer les applications à partir de sources non fiables. Même dans le cas des malwares ZNIU, nous avons vu que les malwares sont transmis au mobile de la victime lorsqu'ils installent des applications pornographiques ou de jeux pour adultes, créées par des développeurs non fiables. Pour vous protéger contre ce malware spécifique, assurez-vous que votre appareil est sur le correctif de sécurité actuel de Google. L'exploit a été corrigé avec le correctif de sécurité de décembre (2016) de Google. Ainsi, toute personne sur laquelle ce correctif est installé est protégée du programme malveillant ZNIU. Cependant, selon votre OEM, il se peut que vous n'ayez pas reçu la mise à jour. Il est donc toujours préférable d'être conscient de tous les risques et de prendre les précautions nécessaires de votre part. Encore une fois, tout ce que vous devez et ne devez pas faire pour éviter que votre appareil ne soit infecté par un malware est mentionné dans l'article qui est lié ci-dessus.
Protégez votre Android contre les infections par des logiciels malveillants
Les dernières années ont vu une augmentation des attaques de logiciels malveillants sur Android. La vulnérabilité de Dirty Cow a été l’un des plus grands exploits jamais découverts. Voir comment ZNIU exploite cette vulnérabilité est vraiment horrible. ZNIU est particulièrement inquiétant en raison de l'étendue des périphériques concernés et du contrôle illimité qu'il confère à l'attaquant. Toutefois, si vous êtes au courant des problèmes et prenez les précautions nécessaires, votre appareil sera à l'abri de ces attaques potentiellement dangereuses. Veillez donc tout d'abord à mettre à jour les derniers correctifs de sécurité de Google dès que vous les recevez, puis éloignez-vous des applications, des fichiers et des liens non fiables et suspects. Selon vous, que faut-il protéger son appareil contre les attaques de logiciels malveillants? Faites-nous part de vos impressions sur le sujet en les inscrivant dans la section commentaires ci-dessous.