Dirty COW blev fundet sidste år, men blev aldrig brugt på Android undtagen til rooting-enheder. nu ser vi den første ondsindede brug af det. Mød ZNIU.
Dirty COW (Dirty Copy-On-Write), eller CVE-2016-5195, er en 9 år gammel Linux-fejl, der blev opdaget i oktober sidste år. Det er en af de mest alvorlige fejl, der nogensinde er blevet fundet i Linux-kernen, og nu er malware kaldet ZNIU blevet fundet i naturen. Fejlen blev rettet i sikkerhedsopdateringen fra december 2016, men alle enheder, der ikke har modtaget den, er sårbare. Hvor mange enheder er det? Ret meget.
Som du kan se ovenfor, er der faktisk et betragteligt antal enheder fra præ-Android 4.4, da Google begyndte at lave sikkerhedsrettelser. Hvad mere er, vil enhver enhed på Android 6.0 Marshmallow eller lavere faktisk være i fare medmindre de har modtaget sikkerhedsrettelser efter december 2016, og medmindre nævnte patches målrettede fejlen korrekt. Med mange producenters forsømmelighed med hensyn til sikkerhedsopdateringer, er det svært at sige, at de fleste mennesker faktisk er beskyttet. En analyse af
TrendLabs har afsløret en masse oplysninger om ZNIU.ZNIU - Den første malware, der bruger Dirty COW på Android
Lad os først få én ting klart, ZNIU er ikke den første registrerede brug af Dirty COW på Android. Faktisk brugte en bruger på vores fora Dirty COW-udnyttelsen (DirtySanta er dybest set bare Dirty COW) for at låse op for bootloaderen til LG V20. ZNIU er kun den første registrerede brug af fejlen, der bruges til et ondsindet formål. Det er sandsynligvis fordi applikationen er utrolig kompleks. Det ser ud til at være aktivt i 40 lande med over 5000 inficerede brugere i skrivende stund. Det forklæder sig i pornografi og spilapplikationer, der findes i over 1200 applikationer.
Hvad gør ZNIU Dirty COW malware?
For det første virker ZNIU's Dirty COW-implementering kun på ARM og X86 64-bit arkitektur. Dette lyder ikke så dårligt, da de fleste flagskibe på 64-bit arkitektur normalt vil have sikkerhedsrettelsen fra december 2016 i det mindste. Imidlertid, alle 32-bit enhederkan også være modtagelige til lovyroot eller KingoRoot, som to af de seks ZNIU rootkits bruger.
Men hvad gør ZNIU? Det for det meste vises som en pornografisk relateret app, men kan igen også findes i spilrelaterede applikationer. Når den er installeret, søger den efter en opdatering til ZNIU-nyttelasten. Det vil derefter begynde privilegieeskalering, få root-adgang, omgå SELinux og installere en bagdør i systemet til fremtidige fjernangreb.
Når applikationen er initialiseret, og bagdøren er installeret, begynder den at sende enheds- og operatøroplysninger tilbage til en server på det kinesiske fastland. Det begynder derefter at overføre penge til en konto via en operatørs betalingstjeneste, men kun hvis den inficerede bruger har et kinesisk telefonnummer. Beskederne, der bekræfter transaktionerne, bliver derefter opsnappet og slettet. Brugere fra uden for Kina vil få deres data logget og en bagdør installeret, men vil ikke få foretaget betalinger fra deres konto. Beløbet, der tages, er latterligt lille for at undgå varsel, svarende til $3 om måneden. ZNIU udnytter root-adgang til sine SMS-relaterede handlinger, da for overhovedet at interagere med SMS vil en applikation normalt skulle have adgang af brugeren. Det kan også inficere andre applikationer installeret på enheden. Al kommunikation er krypteret, inklusive rootkit-nyttelastene, der er downloadet på enheden.
På trods af nævnte kryptering var sløringsprocessen dårlig nok til det TrendLabs var i stand til at bestemme detaljerne for webserveren, herunder placering, der blev brugt til kommunikation mellem malwaren og serveren.
Hvordan virker ZNIU Dirty COW malware?
Det er ret simpelt, hvordan det fungerer, og fascinerende ud fra et sikkerhedsperspektiv. Applikationen downloader den nyttelast, den skal bruge til den aktuelle enhed, den kører på, og udpakker den til en fil. Denne fil indeholder alle script- eller ELF-filer, der kræves for at malwaren kan fungere. Den skriver derefter til virtuelt Dynamically Linked Shared Object (vDSO), som normalt er en mekanisme til at give brugerapplikationer (dvs. ikke-root) plads til at arbejde i kernen. Der er ingen SELinux-grænse her, og det er her "magien" ved Dirty COW virkelig sker. Det skaber en "omvendt shell", hvilket i enkle vendinger betyder, at maskinen (i dette tilfælde din telefon) udfører kommandoer til din applikation i stedet for omvendt. Dette giver angriberen mulighed for derefter at få adgang til enheden, hvilket ZNIU gør ved at patche SELinux og installere en bagdørs rodskal.
Så hvad kan jeg gøre?
Virkelig, alt hvad du kan gøre er at holde dig væk fra applikationer, der ikke findes i Play Butik. Det har Google bekræftet TrendLabs at Google Play Protect genkender nu applikationen. Hvis din enhed har december 2016-sikkerhedspatchen eller senere, er du også fuldstændig sikker.
Kilde: TrendLabs