Hlavní navigace

Malware zneužívající chybu Dirty COW nalezen ve 1200 aplikacích pro Android

David Ježek

Loni objevená díra, která v linuxovém jádře spokojeně žila už od roku 2007, byla sice rychle zalepena, ale to se netýká Androidu. „Špinavou krávu“ zneužívá už víc než tisícovka podvodných aplikací.

Bezpečnostní výzkumníci z Trend Micro publikovali text, ze kterého plyne, že daná zranitelnost CVE-2016–5195, známá pod názvem Dirty COW, je aktivně využívána. Prvním na ráně v mobilním světě Androidu je malware nazvaný ZNIU („AndroidOS_ZNIU“). Ten lidé z Trend Micro objevili ve více než 1200 aplikacích pro Android. Mnohé z nich se identifikovaly jako pornografické, jiné jako herní.

Ač se chyba Dirty COW technicky vzato týká všech verzí Androidu, tato konkrétní implementace ZNIU napadá pouze zařízení s Androidem a 64bit x86 či ARM architekturou. Nicméně současný exploit může být použit i k obejítí SELinux a instalaci backdooru. Trend Micro celkově nalezl šest různých exploitů ZNIU, přičemž chybu Dirty COW používají čtyři z nich. Další dva využívají chybu KingoRoot, resp. exploit Iovyroot (CVE-2015–1805) – díky nim totiž ZNIU získá roota i na 32bit ARM přístrojích.

Prozatím malware infikoval přístroje zhruba 5 tisíc uživatelů ve 40 zemích světa, z nichž většina pochází z Číny a Indie (další pak z USA, Japonska, Kanady, Německa či Indonésie). Google již vydal aktualizaci Androidu, která Dirty COW opravuje, uživatele také nově proti tomuto malwaru chrání vylepšený systém Play Protect. Doporučení pro uživatele je jednoduché: neinstalovat aplikace z neznámých zdrojů.

Našli jste v článku chybu?