Hampir setahun setelah pengungkapan kerentanan Dirty COW yang mempengaruhi kernel Linux, kali ini penjahat dunia maya mulai memanfaatkan kerentanan tersebut terhadap pengguna Android.
Diungkapkan ke publik tahun lalu di bulan Oktober, Dirty COW hadir di bagian kernel Linux – bagian dari hampir semua distribusi Linux, termasuk Red Hat, Debian, dan Ubuntu – selama bertahun-tahun dan dieksploitasi secara aktif di alam bebas.
Kerentanan tersebut memungkinkan penyerang mendapatkan akses root melalui masalah kondisi race, mendapatkan akses ke file executable yang dimiliki root, dan mengizinkan serangan secara remote.
Namun, periset keamanan dari Trend Micro menerbitkan sebuah posting blog pada hari Senin yang mengungkapkan bahwa kerentanan privilege escalation (CVE-2016-5195), yang dikenal sebagai Dirty COW, kini telah aktif dieksploitasi oleh sampel malware ZNIU, yang terdeteksi sebagai AndroidOS_ZNIU.
Eksploitasi kerentanan Dirty Cow ini ditemukan dalam lebih dari 1.200 aplikasi Android
Malware menggunakan eksploitasi kerentanan Dirty COW untuk mendapatkan akses root perangkat Android melalui mekanisme copy-on-write (COW) di kernel Linux Android dan menginstal backdoor yang kemudian dapat digunakan oleh penyerang untuk mengumpulkan data dan menghasilkan keuntungan melalui nomor telepon premium.
Periset Trend Micro mendeteksi malware ZNIU dalam lebih dari 1.200 aplikasi Android berbahaya – beberapa di antaranya menyamar sebagai aplikasi pornografi dan game – di samping situs web host yang mengandung malware rootkit yang mengeksploitasi kerentanan Dirty Cow.
Sementara kerentanan Dirty Cow mempengaruhi semua versi sistem operasi Android, eksploitasi ZNIU Dirty Cow hanya mempengaruhi perangkat Android dengan arsitektur ARM/X86 64-bit. Namun, eksploitasi baru-baru ini dapat digunakan untuk bypass SELinux dan plant backdoors.
“Kami memantau enam rootkit ZNIU, empat di antaranya merupakan eksploitasi Dirty COW. Dua lainnya adalah KingoRoot, aplikasi rooting, dan eksploitasi Iovyroot (CVE-2015-1805),” kata para periset. “ZNIU menggunakan KingoRoot dan Iovyroot karena mereka bisa mendapatkan akses root perangkat CPU ARM 32-bit, yang mana rootkit untuk Dirty COW tidak bisa lakukan.”
Inilah Cara Kerja Eksploitasi DirtyCow ZNIU
Setelah diunduh dan dipasang, aplikasi malware ZNIU berkomunikasi dengan server command-and-control (C&C) untuk memeriksa pembaruan kode, sementara secara bersamaan eksploitasi Dirty COW memberikan privilege escalation lokal untuk mendapatkan akses root pada perangkat, bypass batasan sistem dan “menanamkan backdoor untuk serangan remote potensial di masa mendatang.”
Malware ini juga mencuri informasi pengguna dan mencoba mengirim pembayaran melalui pesan SMS premium yang ditujukan ke perusahaan dummy di Cina.
Setelah transaksi SMS selesai, malware juga menghapus pesan dari perangkat untuk menghapus bukti apa pun.
Para periset menemukan bahwa malware tersebut telah menginfeksi lebih dari 5.000 pengguna Android di 40 negara dalam beberapa pekan terakhir, dengan mayoritas korban ditemukan di Cina dan India, sementara yang lainnya tinggal di Amerika Serikat, Jepang, Kanada, Jerman dan Indonesia.
Google telah merilis update perbaikan untuk Android, secara resmi memperbaiki kerentanan Dirty COW. Raksasa teknologi tersebut juga memastikan bahwa Play Protect-nya sekarang melindungi pengguna Android dari malware ini.
