Yurko Brovko
0 
4964
573
Eftersom Linux är ett öppen källkodsprojekt är det svårt att hitta säkerhetsbrister i dess källkod eftersom tusentals användare aktivt fortsätter att kontrollera och fixa detsamma. På grund av detta proaktiva tillvägagångssätt, även när en brist upptäcks, korrigeras den omedelbart. Det var därför det var så förvånande när en exploit upptäcktes förra året som har undgått den stränga due diligence för alla användare under de senaste 9 åren. Ja, du läste rätt, även om utnyttjandet upptäcktes i oktober 2016, hade det funnits i Linux-kärnkoden sedan de senaste 9 åren. Den här typen av sårbarheter, som är en typ av upptrappningsbugg för privilegier, kallas Dirty Cow-sårbarheten (Linux-kärnbuggkatalognummer - CVE-2016-5195).
Även om denna sårbarhet korrigerades för Linux en vecka efter upptäckten, lämnade den alla Android-enheter sårbara för detta utnyttjande (Android är baserat på Linux-kärnan). Android-patchen följde i december 2016, men på grund av den fragmenterade naturen i Android-ekosystemet finns det fortfarande många Android-enheter som inte har fått uppdateringen och förblir sårbara för den. Vad som är mer skrämmande är att en ny Android-skadlig programvara som kallas ZNIU upptäcktes bara för ett par dagar tillbaka som utnyttjar Dirty Cow-sårbarheten. I den här artikeln kommer vi att ta en djup titt på sårbarheten i Dirty Cow och hur den missbrukas på Android av ZNIU malware.
Vad är Dirty Cow Sårbarhet?
Som nämnts ovan är Dirty Cow sårbarhet en typ av privilegium eskalering utnyttja som kan användas till bevilja superanvändarbehörighet till någon. I grund och botten, genom att använda denna sårbarhet kan alla användare med skadlig avsikt ge sig själv ett superanvändarprivilegium och därigenom ha fullständig rotåtkomst till ett offer för en enhet. Att få rotåtkomst till ett offer för en enhet ger angriparen full kontroll över enheten och han kan extrahera all information lagrad på enheten utan att användaren blir klokare.
Vad är ZNIU och vad smutsig ko har att göra med det?
ZNIU är den första inspelade skadliga programvaran för Android som använder Dirty Cow-sårbarheten för att attackera Android-enheter. Det skadliga programmet använder Dirty Cow-sårbarheten för att få rotåtkomst till offrets enheter. För närvarande har skadlig kod upptäckts att gömma sig i mer än 1200 vuxna spel och pornografiska appar. Vid tidpunkten för publiceringen av denna artikel har mer än 5000 användare i 50 länder befunnits drabbas av den.
Vilka Android-enheter som är sårbara för ZNIU?
Efter upptäckten av Dirty Cow-sårbarheten (oktober 2016) släppte Google en patch i december 2016 för att lösa problemet. Men patch släpptes för Android-enheter som kördes på Android KitKat (4.4) eller ovanför. Enligt uppdelningen av Android OS-distributionen av Google körs mer än 8% av Android-smartphones fortfarande på lägre versioner av Android. Av de som körs på Android 4.4 till Android 6.0 (Marshmallow) är det bara de enheter som är säkra som har tagit emot och installerat säkerhetsuppdateringen för december för sina enheter.
Det är många Android-enheter som kan utnyttjas. Men människor kan trösta sig i det faktum att ZNIU använder en något modifierad version av den smutsiga ko-sårbarheten och därför har det visat sig vara framgångsrikt endast mot de Android-enheter som använder ARM / X86 64-bitars arkitektur. Fortfarande, om du är Android-ägare, skulle det vara bättre att kontrollera om du har installerat säkerhetsuppdateringen i december eller inte.
ZNIU: Hur fungerar det?
När användaren har laddat ner en skadlig app som har infekterats med ZNIU-skadlig programvara, när de startar appen, ZNIU malware kommer automatiskt att kontakta och ansluta till dess kommando och kontroll (C&C) servrar för att få eventuella uppdateringar. När den har uppdaterat sig själv kommer den att använda exploatering av privilegierna (Dirty Cow) för att få rotåtkomst till offrets enhet. När den har root-åtkomst till enheten kommer den att göra det skörda användarens information från enheten.
För närvarande använder skadlig programvara användarinformationen för att kontakta offerets nätverksbärare genom att posera som användaren själv. När den har verifierats kommer den att utföras SMS-baserade mikrotransaktioner och samla in betalning via transportörens betaltjänst. Malware är tillräckligt intelligent för att radera alla meddelanden från enheten efter att transaktionerna har skett. Således har offret ingen aning om transaktionerna. Generellt genomförs transaktionerna för mycket små belopp ($ 3 / månad). Detta är en annan försiktighetsåtgärd som angriparen har vidtagit för att se till att offret inte upptäcker överföringarna.
Efter spårning av transaktionerna konstaterades det att pengar överfördes till ett dummyföretag baserat i Kina. Eftersom operatörsbaserade transaktioner inte har behörighet att överföra pengar internationellt, kommer bara de användare som drabbas i Kina att drabbas av dessa olagliga transaktioner. Men användarna utanför Kina kommer fortfarande att ha skadlig programvara installerad på sin enhet som kan aktiveras när som helst på distans, vilket gör dem till potentiella mål. Även om de internationella offren inte drabbas av olagliga transaktioner ger bakdörren angriparen en chans att injicera mer skadlig kod i enheten.
Hur du räddar dig från ZNIU Malware
Vi har skrivit en hel artikel om att skydda din Android-enhet från skadlig programvara, som du kan läsa genom att klicka här. Det grundläggande är att använda sunt förnuft och inte installera apparna från otillförlitliga källor. Även i fråga om ZNIU-skadlig programvara har vi sett att skadlig programvara levereras till offrets mobil när de installerar pornografiska appar eller vuxen-spelappar, som är tillverkade av osäkra utvecklare. För att skydda mot denna specifika skadlig programvara, se till att din enhet finns i den aktuella säkerhetsuppdateringen från Google. Utnyttjandet korrigerades med säkerhetsuppdateringen från december (2016) från Google, varför alla som har den uppdateringen installerad är säkra från ZNIU-skadlig programvara. Beroende på din OEM kanske du kanske inte har fått uppdateringen, därför är det alltid bättre att vara medveten om alla risker och vidta nödvändiga försiktighetsåtgärder från din sida. Återigen, allt som du borde och inte bör göra för att rädda din enhet från att smittas av en skadlig programvara nämns i artikeln som är länkad ovan.
SE Också: Malwarebytes för Mac-granskning: Om du använder det?
Skydda din Android från att bli smittad av skadlig programvara
Under de senaste åren har en ökning av attacker mot skadlig programvara ökat på Android. Dirty Cow sårbarhet var en av de största utnyttjelserna som någonsin har upptäckts och att se hur ZNIU utnyttjar denna sårbarhet är bara hemskt. ZNIU är särskilt oroande på grund av omfattningen av enheter den påverkar, och den obehindrade kontrollen som den ger till angriparen. Men om du är medveten om problemen och vidtar nödvändiga försiktighetsåtgärder kommer din enhet att vara säker mot dessa potentiellt farliga attacker. Så, se först till att du uppdaterar de senaste säkerhetsfixerna från Google så fort du får dem, och håll dig sedan borta från pålitliga och misstänkta appar, filer och länkar. Vad tycker du att man ska göra för att skydda sin enhet mot skadliga attacker. Låt oss veta dina tankar om ämnet genom att släppa dem ned i kommentaravsnittet nedan.