Sårbar ko-sårbarhed, hvordan ZNIU bruger det til at angribe Android

  • Vovich Antonovich
  • 0
  • 4487
  • 973

Da Linux er et open source-projekt, er det svært at finde sikkerhedsfejl i dens kildekode, da tusinder af brugere aktivt fortsætter med at kontrollere og løse det samme. På grund af denne proaktive tilgang, selv når der opdages en fejl, bliver den straks rettet. Derfor var det så overraskende, da der blev opdaget en udnyttelse sidste år, som har undgået den strenge due diligence fra alle brugere i løbet af de sidste 9 år. Ja, du læste det rigtigt, selvom udnyttelsen blev opdaget i oktober 2016, den havde eksisteret inde i Linux-kernekoden siden sidste 9 år. Denne type sårbarhed, som er en type privilegeringsudvidelsesfejl, er kendt som Dirty Cow-sårbarheden (Linux-kerne-bug-katalognummer - CVE-2016-5195).

Selvom denne sårbarhed blev opdateret til Linux en uge efter dens opdagelse, efterlod den alle Android-enheder sårbare over for denne udnyttelse (Android er baseret på Linux-kerne). Android-programrettelsen fulgte i december 2016, men på grund af den fragmenterede karakter af Android-økosystemet er der stadig en masse Android-enheder, som ikke har modtaget opdateringen og forbliver sårbare over for den. Hvad der er mere skræmmende er, at en ny Android malware, der blev døbt ZNIU, blev opdaget bare et par dage tilbage, som udnytter sårbarheden med Dirty Cow. I denne artikel vil vi undersøge sårbarheden med Dirty Cow, og hvordan den misbruges på Android af ZNIU malware.

Hvad er beskidt med sårbar ko?

Som nævnt ovenfor er Dirty Cow sårbarhed en type udnyttelse af privilegier som kan bruges til give superbruger privilegium til alle. Grundlæggende, ved at bruge denne sårbarhed, kan enhver bruger med ondsindet hensigt give sig selv et superbrugerprivilegium og derved have en fuldstændig rodadgang til et offerets enhed. At få rodadgang til et offerets enhed giver angriberen fuld kontrol over enheden, og han kan udtrække alle de data, der er gemt på enheden, uden at brugeren bliver klogere.

Hvad er ZNIU, og hvad beskidt ko har at gøre med det?

ZNIU er den første registrerede malware til Android, der bruger Dirty Cow-sårbarheden til at angribe Android-enheder. Malwaren bruger Dirty Cow-sårbarheden til at få rodadgang til offerets enheder. I øjeblikket er malware-registreret som skjult i mere end 1200 apps til voksne spil og pornografiske apps. På tidspunktet for offentliggørelsen af ​​denne artikel har det vist sig, at mere end 5000 brugere i 50 lande er påvirket af den.

Hvilke Android-enheder der er sårbare for ZNIU?

Efter opdagelsen af ​​Dirty Cow-sårbarheden (oktober 2016) frigav Google en patch i december 2016 for at løse dette problem. Dog patch blev frigivet til Android-enheder, der kørte på Android KitKat (4.4) eller over. I følge opdelingen af ​​Android OS-distribution fra Google kører mere end 8% af Android-smartphones stadig på lavere versioner af Android. Af dem, der kører på Android 4.4 til Android 6.0 (Marshmallow), er det kun disse enheder, der er sikre, som har modtaget og installeret december-sikkerhedsrettelsen til deres enheder.

Det er en masse Android-enheder, der har potentialet til at blive udnyttet. Imidlertid kan People tage trøst i det faktum, at ZNIU bruger en noget modificeret version af sårbarheden med Dirty Cow, og det har vist sig, at det kun er succesfuldt mod de Android-enheder, der bruger ARM / X86 64-bit arkitektur. Hvis du stadig er en Android-ejer, ville det være bedre at kontrollere, om du har installeret december-sikkerhedsrettelsen eller ej.

ZNIU: Hvordan fungerer det?

Når brugeren har downloadet en ondsindet app, der er inficeret med ZNIU malware, når de starter appen, ZNIU malware vil automatisk kontakte og oprette forbindelse til dens kommando og kontrol (C&C) servere for at få eventuelle opdateringer, hvis de er tilgængelige. Når den har opdateret sig selv, bruger den privilegietudvidelsen (Dirty Cow) til at få rodadgang til offerets enhed. Når den har rodadgang til enheden, gør den det høst brugerens oplysninger fra enheden.

I øjeblikket bruger malware brugeroplysningerne til at kontakte offerets netværksbærer ved at posere som brugeren selv. Når den er godkendt, udføres den SMS-baserede mikro-transaktioner og indsamle betaling gennem transportørens betalingstjeneste. Malware er intelligent nok til at slette alle meddelelser fra enheden, efter at transaktionerne har fundet sted. Således har offeret ingen idé om transaktionerne. Generelt udføres transaktionerne for meget små beløb ($ 3 / måned). Dette er en anden forholdsregel truffet af angriberen for at sikre, at offeret ikke opdager pengeoverførslerne.

Efter sporing af transaktionerne viste det sig, at penge blev overført til et dummyfirma med base i Kina. Da transportørbaserede transaktioner ikke har tilladelse til at overføre penge internationalt, vil kun de brugere, der er berørt i Kina, lide af disse ulovlige transaktioner. Brugere uden for Kina vil dog stadig have malware installeret på deres enhed, som kan aktiveres når som helst eksternt, hvilket gør dem til potentielle mål. Selv hvis de internationale ofre ikke lider af ulovlige transaktioner, giver bagdøren angriberen en chance for at injicere mere ondsindet kode i enheden.

Sådan redder du dig selv fra ZNIU Malware

Vi har skrevet en hel artikel om beskyttelse af din Android-enhed mod malware, som du kan læse ved at klikke her. Den grundlæggende ting er at bruge sund fornuft og ikke installere apps fra ikke-betroede kilder. Selv i tilfælde af ZNIU malware, har vi set, at malware leveres til offerets mobil, når de installerer pornografiske apps eller apps til voksne-spil, som er lavet af ikke-tillid til udviklere. For at beskytte mod denne specifikke malware skal du sikre dig, at din enhed er i den aktuelle sikkerhedspatch fra Google. Udnyttelsen blev lappet med sikkerhedsrettelsen fra december (2016) fra Google, hvorfor enhver, der har denne patch installeret, er sikker på ZNIU-malware. Afhængig af dit OEM har du muligvis ikke modtaget opdateringen, derfor er det altid bedre at være opmærksom på alle risici og tage den nødvendige forsigtighed fra din side. Igen nævnes alt, hvad du skal og ikke skal gøre for at redde din enhed fra at blive inficeret med en malware i den artikel, der er linket ovenfor.

SE OGSÅ: Malwarebytes til Mac-gennemgang: Skal du bruge det?

Beskyt din Android mod at blive inficeret af malware

De sidste par år har der været en stigning i malware-angreb på Android. Dirty Cow sårbarhed var en af ​​de største udnyttelser, der nogensinde er blevet opdaget, og at se, hvordan ZNIU udnytter denne sårbarhed, er bare forfærdeligt. ZNIU er især foruroligende på grund af omfanget af enheder, det påvirker, og den uhindrede kontrol, som den giver til angriberen. Hvis du er opmærksom på problemerne og tager de nødvendige forholdsregler, er din enhed dog sikker mod disse potentielt farlige angreb. Så sørg først for, at du opdaterer de nyeste sikkerhedsrettelser fra Google, så snart du får dem, og hold dig derefter væk fra upålidelige og mistænkelige apps, filer og links. Hvad mener du, man skal gøre for at beskytte deres enhed mod malware-angreb. Fortæl os dine tanker om emnet ved at slippe dem ned i kommentarfeltet nedenfor.




Endnu ingen kommentarer

Gadget til købsguider, teknologier der betyder noget
Vi udgiver detaljerede guider til køb af udstyr, skaber interessante lister over de bedste produkter på markedet, dækker nyheder fra teknologiens verden