Onderzoekers hebben de eerste Android-malware ontdekt die van het Dirty COW-lek gebruik maakt om toestellen te infecteren. Dirty COW is een kwetsbaarheid in een subsysteem van de Linux-kernel waardoor een lokale aanvaller zijn rechten op het systeem kan verhogen.

De kwetsbaarheid werd eind vorig jaar openbaar gemaakt. Een maand later werd het lek door Google in Android gepatcht. In het geval van Android kan een aanvaller via het lek rootrechten op het systeem krijgen. Ondanks de aandacht voor de kwetsbaarheid werden er geen aanvallen op het Android-platform waargenomen, tot nu toe. Anti-virusbedrijf Trend Micro meldt dat het de ZNIU-malware voor Android heeft ontdekt die Dirty COW gebruikt om een "root backdoor" te installeren. Het uiteindelijke doel van de backdoor is om de gebruiker, zonder dat die dit doorheeft, via een sms-betaaldienst te laten betalen. Dit geld gaat naar de aanvaller. De sms-transactie is alleen met Chinese telecomaanbieders mogelijk, maar de malware installeert de backdoor ook op toestellen buiten China.

Trend Micro zegt dat het meer dan 5.000 besmette gebruikers heeft aangetroffen, voornamelijk in China en India. De malware zit in kwaadaardige porno-apps verborgen. De onderzoekers hebben meer dan 1200 kwaadaardige apps geïdentificeerd die de ZNIU-malware bevatten. De apps worden op kwaadaardige websites aangeboden en kunnen alleen worden geinstalleerd als gebruikers installaties uit onbetrouwbare bronnen toestaan. De apps die de ZNIU-malware bevatten zijn niet in de Google Play Store aangetroffen en Google stelt dat het gebruikers via Google Play Protect hier tegen beschermt.