Ya hablamos en su momento de Dirty COW, una condición de carrera en el subsistema de memoria del kernel que permitiría elevar privilegios a 'root' en sistemas Linux. 

A pesar de que ya existen familias que explotan esta vulnerabilidad, es la primera vez que se han encontrado muestras de una que afecta a la plataforma Android. Los investigadores de Trend Micro, sus descubridores, la han bautizado como ZNIU.

Cómo infecta ZNIU

Para lograr la infección, ZNIU se camufla como una aplicación pornográfica o como un videojuego que la víctima descarga desde una página web maliciosa.

Una vez instalada la aplicación, ZNIU se comunica con el panel de control, desde donde descarga e implanta la última versión disponible del virus. Mientras tanto, el malware intenta escalar privilegios en el sistema a través de 'Dirty COW', con el objetivo de instalar una puerta trasera en el dispositivo para futuros ataques remotos.

Proceso de infección. Extraída de http://blog.trendmicro.com

Cuando ZNIU está instalado en nuestro sistema, el atacante se identifica como el propietario de nuestro móvil y nuestra línea de teléfono aprovechando toda la información recolectada de nuestro dispositivo. El objetivo será interceptar los servicios de "pago móvil" y transferir dinero a cuentas controladas por el atacante.

Petición de una transacción enviada por el malware. Extraída de http://blog.trendmicro.com

Hasta el momento, las muestras analizadas por Trend Micro parecen afectar sólo a operadoras de telefonía Chinas. Aunque todos los dispositivos infectados (más de 5.000 a lo largo de más de 40 países) disponen de una puerta trasera que podría ser utilizada para actualizar el virus y apuntar a operadoras de otros países.

Algunas muestras de ZNIU

• com.tj.tjcty04645 
• com.tj.tjcty04011
• com.tj.tjcty01142 
• com.tj.tjcty09635 
• com.tj.tjcty07645 
• com.tj.tjcty12249