Lembram-se do Dirty Cow que foi uma falha detectada a alguns meses atrás foi utilizada em um malware para Android. Os pesquisadores da Trend Micro descobriram amostras do malware ZNIU que exploram a vulnerabilidade Dirty Cow em dispositivos Android.

O Dirty Cow tem este nome por causa da falha que ele explora no sistema, o Copy-on-write ( COW ) que permite aos usuários locais não privilegiados obter acesso de gravação a mapeamentos de memória que estejam em somente-leitura para conseguir escalar privilégios no sistema.

Os pesquisadores dizem que detectaram o malware em mais de 40 países no mês passado com a maior concentração de dispositivos infectados estando na China e na Índia.

No entanto ocorreram casos deste malware também nos Estados Unidos, Japão, Canadá, Alemanha e Indonésia.

Mais de 1200 aplicativos mal-intencionados que trazem o ZNIU foram encontrados em sites “com o rootkit que explora o Dirty COW”.

A Trend Micro diz que estes aplicativos se disfarçam em pornografia, jogos e muito mais para atrair usuários a baixá-los em lojas e sites de aplicativos de terceiros.

Os pesquisadores dizem que o aplicativo usa o exploit do Dirty COW para configurar um backdoor para registrar as informações sobre o dispositivo e criar transações SMS premium com operadoras chinesas.

As transações de SMS não funcionam fora da China mas o operador de malware ainda pode ganhar um backdoor para qualquer telefone que tenha o aplicativo instalado.

Aqueles que estiverem com o exploit deliberadamente podem passar a ter cobranças indevidas em seus telefones.

Além disto, mesmo que o operador do malware possa definir um valor mais alto para que possa ganhar mais dinheiro com a operação, os valores das transações deliberadamente são bem pequenos ( 20 RMB ou 3 USD ) para evitar que sejam notados.

O malware pode ser evitado ao não instalar aplicativos de fontes de terceiros mas é importante notar que uma vulnerabilidade que foi descoberta pela primeira vez no Linux agora já foi realmente explorada no Android.

Parece que os meliantes virtuais só levaram algum tempo para conseguir explorar isto em telefones Android.

E como infelizmente temos milhões de smartphones Android que nunca terão patches publicados pelos fabricantes já que o suporte oficial deixou de existir a possibilidade de uma infecção em massa, já que este exploit agora está disponível oficialmente para o Android passa a ser uma possível realidade.

Via Phandroid