Dirty COW が ZNIU によって Android 上で悪用される

Xda ニュース概要Nov 15, 2023
click fraud protection

Dirty COW は昨年発見されましたが、デバイスのルート化を除いて Android では使用されていませんでした。 今回、初めて悪意のある使用が確認されました。 ZNIUをご紹介します。

ダーティーカウ (ダーティ コピーオン ライト)、または CVE-2016-5195は、昨年 10 月に発見された 9 年前の Linux のバグです。 これは、Linux カーネル内でこれまでに発見された中で最も深刻なバグの 1 つであり、現在では ZNIU と呼ばれるマルウェアが世に出回っていることが発見されています。 このバグは 2016 年 12 月のセキュリティ アップデートで修正されましたが、それを受け取っていないデバイスは脆弱です。 それは何台のデバイスですか? かなりたくさん。

上で見られるように、実際には、Google がセキュリティ パッチの作成を開始した Android 4.4 以前のデバイスがかなりの数あります。 さらに、Android 6.0 Marshmallow 以前を搭載したデバイスは実際に危険にさらされることになります。 2016 年 12 月以降にセキュリティ パッチを受け取っていない限り、 そして、そのパッチがバグを適切にターゲットにしていない限り、. 多くのメーカーがセキュリティ更新プログラムを怠っているため、ほとんどの人が実際に保護されているとは言いがたいです。 による分析 トレンドラボ ZNIUに関する多くの情報を明らかにしました。

ZNIU - Android 上で Dirty COW を使用する最初のマルウェア

まず一つはっきりさせておきたいのは、ZNIU は ない Android 上での Dirty COW の使用が初めて記録されました。 実際、私たちのフォーラムのユーザーは Dirty COW エクスプロイトを使用しました (DirtySanta は基本的に単なる Dirty COW です)。 LG V20のブートローダーのロックを解除するには. ZNIU は、悪意のある目的で使用されたバグの使用が記録された最初の例にすぎません。 おそらく、アプリケーションが非常に複雑であることが原因と考えられます。 40か国で活動しているようで、本稿執筆時点で感染ユーザーは5000人を超えている。 ポルノやゲームのアプリケーションに変装し、1200 以上のアプリケーションに存在します。

ZNIU Dirty COW マルウェアは何をしますか?

まず、ZNIU の Dirty COW 実装は、ARM および X86 64 ビット アーキテクチャでのみ動作します。 64 ビット アーキテクチャのほとんどの主力製品には通常、少なくとも 2016 年 12 月のセキュリティ パッチが適用されるため、これはそれほど悪いことではないようです。 しかし、 任意の 32 ビット デバイス影響を受けやすい可能性もあります lovyroot または KingoRoot へ。6 つの ZNIU ルートキットのうち 2 つが使用します。

しかし、ZNIUは何をしているのでしょうか? それ たいてい はポルノ関連のアプリとして表示されますが、ゲーム関連のアプリでも見つかります。 インストールされると、ZNIU ペイロードの更新がチェックされます。 その後、特権昇格を開始し、root アクセスを取得し、SELinux をバイパスして、将来のリモート攻撃に備えてシステムにバックドアをインストールします。

アプリケーションが初期化され、バックドアがインストールされると、デバイスと通信事業者の情報が中国本土にあるサーバーに送信され始めます。 その後、キャリアの決済サービスを介してアカウントへの送金が開始されます。 ただし、感染したユーザーが中国の電話番号を持っている場合に限ります. トランザクションを確認するメッセージは傍受され、削除されます。 中国国外のユーザーはデータが記録され、バックドアがインストールされますが、アカウントからの支払いは行われません。 取られる金額は、気づかれないほど驚くほど少額で、月額 3 ドルに相当します。 ZNIU は、SMS 関連のアクションに root アクセスを利用します。アプリケーションが SMS と対話するには、通常、ユーザーによるアクセスが許可される必要があります。 また、デバイスにインストールされている他のアプリケーションにも感染する可能性があります。 デバイスにダウンロードされたルートキット ペイロードを含むすべての通信は暗号化されます。

前述の暗号化にもかかわらず、難読化プロセスは十分に不十分でした。 トレンドラボ マルウェアとサーバー間の通信に使用される Web サーバーの詳細 (場所を含む) を特定することができました。

ZNIU Dirty COW マルウェアはどのように機能しますか?

その仕組みは非常にシンプルで、セキュリティの観点から見ると魅力的です。 アプリケーションは、実行中の現在のデバイスに必要なペイロードをダウンロードし、ファイルに抽出します。 このファイルには、マルウェアが機能するために必要なすべてのスクリプトまたは ELF ファイルが含まれています。 次に、仮想動的リンク共有オブジェクト (vDSO) に書き込みます。これは通常、ユーザー アプリケーション (つまり、非ルート) にカーネル内で動作するスペースを与えるためのメカニズムです。 ここには SELinux の制限はなく、ここで Dirty COW の「魔法」が実際に起こります。 これは、「リバース シェル」を作成します。これは、簡単に言うと、マシン (この場合は携帯電話) がアプリケーションに対して逆ではなくコマンドを実行していることを意味します。 これにより、攻撃者はデバイスにアクセスできるようになります。これは、ZNIU が SELinux にパッチを適用し、バックドア ルート シェルをインストールすることによって行われます。

じゃあどうすればいい?

実際にできることは、Play ストアにないアプリケーションに近づかないことだけです。 Googleは次のことを確認しました トレンドラボ それ Google Play プロテクトがアプリケーションを認識するようになりました. お使いのデバイスに 2016 年 12 月以降のセキュリティ パッチが適用されている場合も、完全に安全です。

出典: トレンドラボ