يتم الآن إساءة استخدام البقرة القذرة على Android بواسطة ZNIU

موجز أخبار XdaNov 15, 2023
click fraud protection

تم العثور على Dirty COW العام الماضي، ولكن لم يتم استخدامه مطلقًا على نظام Android باستثناء أجهزة الوصول إلى الجذر. والآن نرى أول استخدام ضار له. تعرف على ZNIU.

البقرة القذرة (نسخة عند الكتابة قذرة)، أو CVE-2016-5195، هو خطأ في Linux عمره 9 سنوات تم اكتشافه في أكتوبر من العام الماضي. إنها واحدة من أخطر الأخطاء التي تم العثور عليها على الإطلاق داخل Linux kernel، والآن تم العثور على برامج ضارة يطلق عليها اسم ZNIU. تم تصحيح الخطأ في التحديث الأمني ​​الصادر في ديسمبر 2016، ولكن أي أجهزة لم تتلقه تكون معرضة للخطر. كم عدد الأجهزة ذلك؟ كثيرا نوعا ما.

كما ترون أعلاه، يوجد بالفعل عدد كبير من الأجهزة التي تعود إلى ما قبل Android 4.4، عندما بدأت Google في إجراء تصحيحات الأمان. علاوة على ذلك، فإن أي جهاز يعمل بنظام التشغيل Android 6.0 Marshmallow أو أقل سيكون في الواقع معرضًا للخطر ما لم يتلقوا أي تصحيحات أمنية بعد ديسمبر 2016، وما لم تستهدف التصحيحات المذكورة الخطأ بشكل صحيح. ومع إهمال العديد من الشركات المصنعة للتحديثات الأمنية، فمن الصعب القول بأن معظم الأشخاص محميون بالفعل. تحليل بواسطة تريندلابز كشفت الكثير من المعلومات حول ZNIU.

ZNIU - أول برنامج ضار يستخدم Dirty COW على Android

أولاً، دعونا نوضح شيئًا واحدًا، وهو أن ZNIU هي لا أول استخدام مسجل لـ Dirty COW على Android. في الواقع، استخدم أحد المستخدمين في منتدياتنا ثغرة Dirty COW (DirtySanta هي في الأساس مجرد Dirty COW) لفتح أداة تحميل التشغيل لجهاز LG V20. ZNIU هو أول استخدام مسجل للخطأ الذي يتم استخدامه لغرض ضار. من المحتمل أن يكون هذا بسبب أن التطبيق معقد بشكل لا يصدق. يبدو أنه نشط في 40 دولة، مع أكثر من 5000 مستخدم مصاب حتى وقت كتابة هذا التقرير. إنه يتنكر في المواد الإباحية وتطبيقات الألعاب، وهو موجود في أكثر من 1200 تطبيق.

ماذا تفعل البرمجيات الخبيثة ZNIU Dirty COW؟

أولاً، يعمل تطبيق Dirty COW الخاص بـ ZNIU فقط على بنية ARM وX86 64 بت. لا يبدو هذا سيئًا للغاية، حيث أن معظم الهواتف الرائدة التي تعمل بنظام 64 بت عادةً ما تحتوي على التصحيح الأمني ​​لشهر ديسمبر 2016 على الأقل. لكن، أي أجهزة 32 بتقد تكون أيضا عرضة إلى lovyroot أو KingoRoot، والتي يستخدمها اثنان من برامج rootkit الستة من ZNIU.

ولكن ماذا تفعل ZNIU؟ هو - هي خاصة يظهر كتطبيق ذي صلة بالمواد الإباحية، ولكن يمكن العثور عليه أيضًا في التطبيقات ذات الصلة بالألعاب. بمجرد التثبيت، فإنه يتحقق من وجود تحديث لحمولة ZNIU. سيبدأ بعد ذلك في تصعيد الامتيازات، والحصول على الوصول إلى الجذر، وتجاوز SELinux، وتثبيت باب خلفي في النظام لشن هجمات عن بعد في المستقبل.

بمجرد تهيئة التطبيق وتثبيت الباب الخلفي، يبدأ في إرسال معلومات الجهاز والناقل مرة أخرى إلى خادم يقع في الصين القارية. ثم يبدأ بعد ذلك بتحويل الأموال إلى حساب عبر خدمة الدفع الخاصة بشركة النقل، ولكن فقط إذا كان لدى المستخدم المصاب رقم هاتف صيني. يتم بعد ذلك اعتراض الرسائل التي تؤكد المعاملات وحذفها. سيتم تسجيل بيانات المستخدمين من خارج الصين وتثبيت باب خلفي ولكن لن يتم إجراء أي مدفوعات من حساباتهم. المبلغ المأخوذ صغير بشكل يبعث على السخرية لتجنب الإشعار، أي ما يعادل 3 دولارات شهريًا. تستفيد ZNIU من الوصول إلى الجذر لإجراءاتها المتعلقة بالرسائل النصية القصيرة، حيث يحتاج التطبيق عادةً إلى منح حق الوصول من قبل المستخدم للتفاعل على الإطلاق مع الرسائل القصيرة. ويمكنه أيضًا إصابة التطبيقات الأخرى المثبتة على الجهاز. يتم تشفير جميع الاتصالات، بما في ذلك حمولات rootkit التي تم تنزيلها على الجهاز.

على الرغم من التشفير المذكور، إلا أن عملية التشويش كانت سيئة بدرجة كافية تريندلابز تمكنا من تحديد تفاصيل خادم الويب، بما في ذلك الموقع، المستخدم للاتصال بين البرامج الضارة والخادم.

كيف تعمل البرمجيات الخبيثة ZNIU Dirty COW؟

إنها بسيطة إلى حد ما كيف تعمل، ورائعة من منظور أمني. يقوم التطبيق بتنزيل الحمولة التي يحتاجها للجهاز الحالي الذي يعمل عليه ويستخرجها في ملف. يحتوي هذا الملف على كافة البرامج النصية أو ملفات ELF المطلوبة لكي تعمل البرامج الضارة. ثم يكتب بعد ذلك إلى الكائن المشترك المرتبط ديناميكيًا الافتراضي (vDSO)، والذي عادةً ما يكون آلية لمنح تطبيقات المستخدم (أي غير الجذر) مساحة للعمل داخل النواة. لا يوجد حد لـ SELinux هنا، وهذا هو المكان الذي يحدث فيه "سحر" Dirty COW حقًا. فهو ينشئ "واجهة عكسية"، وهو ما يعني بعبارات بسيطة أن الجهاز (في هذه الحالة، هاتفك) ينفذ الأوامر إلى التطبيق الخاص بك بدلاً من العكس. يسمح هذا للمهاجم بالوصول إلى الجهاز، وهو ما تفعله ZNIU عن طريق تصحيح SELinux وتثبيت غلاف جذر الباب الخلفي.

اذا، ماذا استطيع ان افعل؟

حقًا، كل ما يمكنك فعله هو الابتعاد عن التطبيقات غير الموجودة على متجر Play. وقد أكدت جوجل ل تريندلابز الذي - التي سيتعرف Google Play Protect الآن على التطبيق. إذا كان جهازك يحتوي على التصحيح الأمني ​​لشهر ديسمبر 2016 أو الإصدارات الأحدث، فأنت أيضًا آمن تمامًا.

المصدر: تريندلابز