Dirty COW byla nalezena minulý rok, ale nikdy nebyla použita na Androidu kromě rootovacích zařízení. nyní vidíme jeho první škodlivé použití. Seznamte se se ZNIU.
Špinavá kráva (Dirty Copy-On-Write), nebo CVE-2016-5195, je 9 let stará chyba Linuxu, která byla objevena v říjnu minulého roku. Je to jedna z nejzávažnějších chyb, jaké kdy byly v linuxovém jádře nalezeny, a nyní byl ve volné přírodě nalezen malware zvaný ZNIU. Chyba byla opravena v aktualizaci zabezpečení z prosince 2016, ale všechna zařízení, která ji neobdržela, jsou zranitelná. Kolik je to zařízení? Docela dost.
Jak můžete vidět výše, ve skutečnosti existuje značné množství zařízení z verze starší než Android 4.4, kdy Google začal vytvářet bezpečnostní záplaty. A co víc, jakékoli zařízení se systémem Android 6.0 Marshmallow nebo nižším bude ve skutečnosti ohroženo pokud během prosince 2016 neobdrželi žádné bezpečnostní záplaty, a pokud uvedené opravy správně nezacílily na chybu. S nedbalostí mnoha výrobců k bezpečnostním aktualizacím je těžké říci, že většina lidí je skutečně chráněna. Analýza od
ZNIU – První malware využívající Dirty COW na Androidu
Nejprve si ujasněme jednu věc, ZNIU je ne první zaznamenané použití Dirty COW na Androidu. Ve skutečnosti uživatel na našem fóru použil exploit Dirty COW (DirtySanta je v podstatě jen Dirty COW) pro odemknutí bootloaderu LG V20. ZNIU je pouze prvním zaznamenaným použitím chyby, která byla použita pro škodlivé účely. Je to pravděpodobně proto, že aplikace je neuvěřitelně složitá. Zdá se, že je aktivní ve 40 zemích s více než 5000 infikovanými uživateli v době psaní tohoto článku. Maskuje se za pornografii a herní aplikace, které jsou přítomny ve více než 1200 aplikacích.
Co dělá malware ZNIU Dirty COW?
Za prvé, implementace Dirty COW od ZNIU funguje pouze na 64bitové architektuře ARM a X86. To nezní tak špatně, protože většina vlajkových lodí na 64bitové architektuře obvykle bude mít bezpečnostní opravu z prosince 2016. Nicméně, jakákoli 32bitová zařízenímůže být také náchylný na lovyroot nebo KingoRoot, které používají dva ze šesti rootkitů ZNIU.
Ale co dělá ZNIU? To většinou se objevuje jako aplikace související s pornografií, ale opět ji lze nalézt také v aplikacích souvisejících s hrami. Po instalaci zkontroluje aktualizaci pro užitečné zatížení ZNIU. Poté zahájí eskalaci oprávnění, získá root přístup, obejde SELinux a nainstaluje do systému zadní vrátka pro budoucí vzdálené útoky.
Jakmile se aplikace inicializuje a nainstaluje zadní vrátka, začne odesílat informace o zařízení a operátorovi zpět na server umístěný v pevninské Číně. Poté začne převádět peníze na účet prostřednictvím platební služby dopravce, ale pouze v případě, že infikovaný uživatel má čínské telefonní číslo. Zprávy potvrzující transakce jsou poté zachyceny a odstraněny. Uživatelé mimo Čínu budou mít svá data zaprotokolovaná a nainstalovaná zadní vrátka, ale nebudou z jejich účtu platit platby. Vybraná částka je směšně malá, aby se předešlo upozornění, ekvivalent 3 USD měsíčně. ZNIU využívá root přístup pro své akce související se SMS, protože k tomu, aby mohla aplikace vůbec interagovat se SMS, by normálně musel udělit přístup uživatel. Může také infikovat další aplikace nainstalované v zařízení. Veškerá komunikace je šifrována, včetně obsahu rootkitu staženého do zařízení.
Navzdory uvedenému šifrování byl proces zatemňování dostatečně slabý TrendLabs byli schopni určit podrobnosti o webovém serveru, včetně umístění, používaného pro komunikaci mezi malwarem a serverem.
Jak funguje malware ZNIU Dirty COW?
Je to docela jednoduché, jak to funguje, a fascinující z hlediska bezpečnosti. Aplikace stáhne užitečné zatížení, které potřebuje pro aktuální zařízení, na kterém běží, a rozbalí jej do souboru. Tento soubor obsahuje všechny skripty nebo soubory ELF potřebné pro fungování malwaru. Poté zapíše do virtuálního dynamicky propojeného sdíleného objektu (vDSO), což je obvykle mechanismus poskytující uživatelským aplikacím (tj. nerootovým) prostor pro práci v jádře. Zde neexistuje žádný limit SELinuxu a zde se skutečně odehrává „kouzlo“ Dirty COW. Vytváří „reverzní shell“, což zjednodušeně znamená, že stroj (v tomto případě váš telefon) vykonává příkazy vaší aplikaci, nikoli naopak. To umožňuje útočníkovi získat přístup k zařízení, což ZNIU dělá opravou SELinuxu a instalací kořenového shellu backdoor.
Tak co můžu dělat?
Opravdu vše, co můžete udělat, je držet se dál od aplikací, které nejsou v Obchodě Play. Google to potvrdil TrendLabs že Google Play Protect nyní aplikaci rozpozná. Pokud má vaše zařízení bezpečnostní opravu z prosince 2016 nebo novější, jste také zcela v bezpečí.
Zdroj: TrendLabs