डर्टी गाय का अब ZNIU द्वारा एंड्रॉइड पर दुरुपयोग किया जा रहा है

Xda समाचार संक्षिप्तNov 15, 2023
click fraud protection

डर्टी COW पिछले साल पाया गया था, लेकिन रूटिंग डिवाइस को छोड़कर एंड्रॉइड पर इसका कभी भी उपयोग नहीं किया गया था। अब हम इसका पहला दुर्भावनापूर्ण उपयोग देखते हैं। ZNIU से मिलें.

गंदी गाय (डर्टी कॉपी-ऑन-राइट), या सीवीई-2016-5195, एक 9 साल पुराना लिनक्स बग है जिसे पिछले साल अक्टूबर में खोजा गया था। यह लिनक्स कर्नेल में अब तक पाए गए सबसे गंभीर बगों में से एक है, और अब ZNIU नामक मैलवेयर जंगली में पाया गया है। दिसंबर 2016 के सुरक्षा अद्यतन में बग को ठीक कर दिया गया था, लेकिन जिन डिवाइसों को यह प्राप्त नहीं हुआ है वे असुरक्षित हैं। वह कितने उपकरण हैं? काफी।

जैसा कि आप ऊपर देख सकते हैं, वास्तव में एंड्रॉइड 4.4 से पहले के उपकरणों की एक बड़ी संख्या मौजूद है, जब Google ने सुरक्षा पैच बनाना शुरू किया था। इसके अलावा, एंड्रॉइड 6.0 मार्शमैलो या उससे कम पर चलने वाला कोई भी उपकरण वास्तव में खतरे में पड़ने वाला है जब तक कि उन्हें दिसंबर 2016 के बाद कोई सुरक्षा पैच प्राप्त न हो जाए, और जब तक उक्त पैच ने बग को ठीक से लक्षित नहीं किया. सुरक्षा अद्यतनों के प्रति कई निर्माताओं की लापरवाही के कारण, यह कहना कठिन है कि अधिकांश लोग वास्तव में सुरक्षित हैं। द्वारा एक विश्लेषण

ट्रेंडलैब्स ZNIU के बारे में बहुत सारी जानकारी सामने आई है।

ZNIU - एंड्रॉइड पर डर्टी काउ का उपयोग करने वाला पहला मैलवेयर

सबसे पहले एक बात स्पष्ट कर लें, ZNIU है नहीं एंड्रॉइड पर डर्टी काउ का पहला रिकॉर्ड किया गया उपयोग। वास्तव में, हमारे मंचों पर एक उपयोगकर्ता ने डर्टी काउ शोषण का उपयोग किया (डर्टीसांता मूल रूप से सिर्फ डर्टी काउ है) LG V20 के बूटलोडर को अनलॉक करने के लिए. ZNIU किसी दुर्भावनापूर्ण उद्देश्य के लिए उपयोग किए जा रहे बग का केवल पहला रिकॉर्ड किया गया उपयोग है। इसकी संभावना इसलिए है क्योंकि एप्लिकेशन अविश्वसनीय रूप से जटिल है। ऐसा लगता है कि यह 40 देशों में सक्रिय है, लेखन के समय 5000 से अधिक संक्रमित उपयोगकर्ता हैं। यह खुद को अश्लील साहित्य और गेम अनुप्रयोगों में छुपाता है, जो 1200 से अधिक अनुप्रयोगों में मौजूद है।

ZNIU डर्टी COW मैलवेयर क्या करता है?

सबसे पहले, ZNIU का डर्टी COW कार्यान्वयन केवल ARM और X86 64-बिट आर्किटेक्चर पर काम करता है। यह बहुत बुरा नहीं लगता, क्योंकि 64-बिट आर्किटेक्चर पर अधिकांश फ्लैगशिप में आमतौर पर कम से कम दिसंबर 2016 सुरक्षा पैच होगा। तथापि, कोई भी 32-बिट डिवाइसअतिसंवेदनशील भी हो सकता है lovyroot या KingoRoot को, जो छह ZNIU रूटकिट में से दो का उपयोग करते हैं।

लेकिन ZNIU क्या करता है? यह ज्यादातर एक अश्लील संबंधित ऐप के रूप में दिखाई देता है, लेकिन फिर से गेम से संबंधित एप्लिकेशन में भी पाया जा सकता है। एक बार इंस्टॉल हो जाने पर, यह ZNIU पेलोड के लिए अपडेट की जांच करता है। इसके बाद यह विशेषाधिकार वृद्धि शुरू करेगा, रूट एक्सेस प्राप्त करेगा, SELinux को बायपास करेगा और भविष्य के दूरस्थ हमलों के लिए सिस्टम में एक पिछला दरवाजा स्थापित करेगा।

एक बार जब एप्लिकेशन प्रारंभ हो जाता है और बैकडोर इंस्टॉल हो जाता है, तो यह डिवाइस और वाहक जानकारी को मुख्य भूमि चीन में स्थित सर्वर पर वापस भेजना शुरू कर देता है। इसके बाद यह वाहक की भुगतान सेवा के माध्यम से किसी खाते में धन हस्तांतरित करना शुरू कर देता है, लेकिन केवल तभी जब संक्रमित उपयोगकर्ता के पास चीनी फ़ोन नंबर हो. फिर लेनदेन की पुष्टि करने वाले संदेशों को रोक लिया जाता है और हटा दिया जाता है। चीन के बाहर के उपयोगकर्ताओं का डेटा लॉग किया जाएगा और एक पिछला दरवाजा स्थापित किया जाएगा, लेकिन उनके खाते से भुगतान नहीं किया जाएगा। नोटिस से बचने के लिए ली गई राशि हास्यास्पद रूप से छोटी है, जो प्रति माह 3 डॉलर के बराबर है। ZNIU अपने एसएमएस से संबंधित कार्यों के लिए रूट एक्सेस का लाभ उठाता है, क्योंकि एसएमएस के साथ बातचीत करने के लिए किसी एप्लिकेशन को सामान्य रूप से उपयोगकर्ता द्वारा एक्सेस प्रदान करने की आवश्यकता होती है। यह डिवाइस पर इंस्टॉल किए गए अन्य एप्लिकेशन को भी संक्रमित कर सकता है। डिवाइस पर डाउनलोड किए गए रूटकिट पेलोड सहित सभी संचार एन्क्रिप्टेड हैं।

उक्त एन्क्रिप्शन के बावजूद अस्पष्टीकरण प्रक्रिया काफी खराब थी ट्रेंडलैब्स मैलवेयर और सर्वर के बीच संचार के लिए उपयोग किए जाने वाले स्थान सहित वेब सर्वर का विवरण निर्धारित करने में सक्षम थे।

ZNIU डर्टी COW मैलवेयर कैसे काम करता है?

यह कैसे काम करता है यह काफी सरल है, और सुरक्षा दृष्टिकोण से आकर्षक है। एप्लिकेशन उस पेलोड को डाउनलोड करता है जिस पर वह वर्तमान डिवाइस पर चल रहा है और उसे एक फ़ाइल में निकालता है। इस फ़ाइल में मैलवेयर के कार्य करने के लिए आवश्यक सभी स्क्रिप्ट या ELF फ़ाइलें शामिल हैं। इसके बाद यह वर्चुअल डायनामिकली लिंक्ड शेयर्ड ऑब्जेक्ट (vDSO) को लिखता है, जो आमतौर पर उपयोगकर्ता एप्लिकेशन (यानी, गैर-रूट) को कर्नेल के भीतर काम करने के लिए जगह देने के लिए एक तंत्र है। यहां कोई SELinux सीमा नहीं है, और यहीं पर डर्टी काउ का "जादू" वास्तव में घटित होता है। यह एक "रिवर्स शेल" बनाता है, जिसका सरल शब्दों में मतलब है कि मशीन (इस मामले में, आपका फोन) दूसरे तरीके के बजाय आपके एप्लिकेशन पर कमांड निष्पादित कर रही है। यह हमलावर को डिवाइस तक पहुंच प्राप्त करने की अनुमति देता है, जो ZNIU SELinux को पैच करके और बैकडोर रूट शेल स्थापित करके करता है।

तो मेरे द्वारा क्या किया जा सकता है?

वास्तव में, आप बस इतना कर सकते हैं कि प्ले स्टोर पर नहीं मौजूद एप्लिकेशन से दूर रहें। गूगल ने इसकी पुष्टि की है ट्रेंडलैब्स वह Google Play प्रोटेक्ट अब एप्लिकेशन को पहचान लेगा. अगर आपके डिवाइस में दिसंबर 2016 या उसके बाद का सिक्योरिटी पैच है तो आप भी पूरी तरह सुरक्षित हैं।

स्रोत: ट्रेंडलैब्स