ბინძური ძროხა ახლა ბოროტად გამოიყენება Android-ზე ZNIU-ის მიერ

Dirty COW იპოვეს გასულ წელს, მაგრამ არასდროს გამოუყენებიათ Android-ზე, გარდა Rooting მოწყობილობებისა. ახლა ჩვენ ვხედავთ მის პირველ მავნე გამოყენებას. გაიცანით ZNIU.

ბინძური ძროხა (ბინძური ასლი-ჩაწერაზე), ან CVE-2016-5195, არის Linux-ის 9 წლიანი შეცდომა, რომელიც აღმოაჩინეს გასული წლის ოქტომბერში. ეს არის ერთ-ერთი ყველაზე სერიოზული შეცდომა, რომელიც ოდესმე აღმოჩენილა Linux-ის ბირთვში და ახლა მავნე პროგრამა, სახელად ZNIU, ნაპოვნია ბუნებაში. ხარვეზი შესწორდა 2016 წლის დეკემბრის უსაფრთხოების განახლებაში, მაგრამ ყველა მოწყობილობა, რომელიც არ მიუღია, დაუცველია. რამდენი მოწყობილობაა? Საკმაოდ ბევრი.

როგორც ზემოთ ხედავთ, რეალურად არის მოწყობილობების საკმაოდ დიდი რაოდენობა პრე-Android 4.4-დან, როდესაც Google-მა უსაფრთხოების პატჩების შექმნა დაიწყო. უფრო მეტიც, ნებისმიერი მოწყობილობა Android 6.0 Marshmallow ან უფრო დაბალი ვერსიით რეალურად რისკის ქვეშ იქნება თუ მათ არ მიიღეს რაიმე უსაფრთხოების პატჩები 2016 წლის დეკემბერში, და თუ აღნიშნული პატჩები სათანადოდ არ მიზნად ისახავს შეცდომას. მრავალი მწარმოებლის დაუდევრობით უსაფრთხოების განახლებების მიმართ, ძნელი სათქმელია, რომ ადამიანების უმეტესობა რეალურად დაცულია. ანალიზის მიერ

TrendLabs გამოავლინა ბევრი ინფორმაცია ZNIU-ს შესახებ.

ZNIU - პირველი მავნე პროგრამა, რომელიც იყენებს Dirty COW-ს Android-ზე

ჯერ ერთი რამ გავარკვიოთ, ZNIU არის არა Dirty COW-ის პირველი ჩაწერილი გამოყენება Android-ზე. სინამდვილეში, ჩვენს ფორუმზე მომხმარებელმა გამოიყენა Dirty COW ექსპლოიტი (DirtySanta ძირითადად მხოლოდ Dirty COWა) LG V20-ის ჩამტვირთველის განბლოკვისთვის. ZNIU არის მხოლოდ პირველი ჩაწერილი გამოყენების შეცდომა, რომელიც გამოიყენება მავნე მიზნებისთვის. სავარაუდოა, რომ ეს იმიტომ ხდება, რომ აპლიკაცია წარმოუდგენლად რთულია. როგორც ჩანს, ის აქტიურია 40 ქვეყანაში, წერის დროს 5000-ზე მეტი ინფიცირებული მომხმარებელია. იგი შენიღბავს პორნოგრაფიასა და სათამაშო აპლიკაციებში, წარმოდგენილია 1200-ზე მეტ აპლიკაციაში.

რას აკეთებს ZNIU Dirty COW მავნე პროგრამა?

ჯერ ერთი, ZNIU-ს Dirty COW იმპლემენტაცია მუშაობს მხოლოდ ARM და X86 64-ბიტიან არქიტექტურაზე. ეს არც ისე ცუდად ჟღერს, რადგან 64-ბიტიან არქიტექტურაზე ფლაგმანების უმეტესობას, როგორც წესი, ექნება მინიმუმ 2016 წლის დეკემბრის უსაფრთხოების პაჩი. თუმცა, ნებისმიერი 32-ბიტიანი მოწყობილობაასევე შეიძლება იყოს მგრძნობიარე lovyroot-ზე ან KingoRoot-ზე, რომელსაც ექვსი ZNIU rootkits-დან ორი იყენებს.

მაგრამ რას აკეთებს ZNIU? ის ძირითადად როგორც ჩანს, როგორც პორნოგრაფიული აპი, მაგრამ ასევე შეიძლება მოიძებნოს თამაშთან დაკავშირებულ აპლიკაციებში. ინსტალაციის შემდეგ, ის ამოწმებს განახლებას ZNIU დატვირთვისთვის. შემდეგ ის დაიწყებს პრივილეგიების გაზრდას, მოიპოვებს root წვდომას, SELinux-ის გვერდის ავლით და სისტემაში უკანა კარის დაყენებას მომავალი დისტანციური შეტევებისთვის.

მას შემდეგ, რაც აპლიკაციის ინიციალიზაცია მოხდება და უკანა კარი დაინსტალირდება, ის იწყებს მოწყობილობისა და ოპერატორის ინფორმაციის გაგზავნას მატერიკულ ჩინეთში მდებარე სერვერზე. შემდეგ ის იწყებს ანგარიშზე თანხის გადარიცხვას ოპერატორის გადახდის სერვისით, მაგრამ მხოლოდ იმ შემთხვევაში, თუ ინფიცირებულ მომხმარებელს აქვს ჩინური ტელეფონის ნომერი. ტრანზაქციების დამადასტურებელი შეტყობინებები შემდეგ იკვეთება და წაიშლება. მომხმარებლებს ჩინეთის ფარგლებს გარეთ ექნებათ მათი მონაცემები აღრიცხული და დაინსტალირებული backdoor, მაგრამ არ ექნებათ გადახდები მათი ანგარიშიდან. აღებული თანხა სასაცილოდ მცირეა, რათა თავიდან ავიცილოთ გაფრთხილება, თვეში $3-ის ექვივალენტი. ZNIU იყენებს root წვდომას SMS-თან დაკავშირებულ ქმედებებისთვის, რადგან SMS-თან საერთოდ ურთიერთობისთვის აპლიკაციას ჩვეულებრივ სჭირდება მომხმარებლის მიერ წვდომის მინიჭება. მას ასევე შეუძლია დააინფიციროს მოწყობილობაზე დაინსტალირებული სხვა აპლიკაციები. ყველა კომუნიკაცია დაშიფრულია, მათ შორის Rootkit payloads, რომლებიც ჩამოტვირთულია მოწყობილობაზე.

მიუხედავად აღნიშნული დაშიფვრისა, დაბინდვის პროცესი საკმარისად ცუდი იყო TrendLabs შეძლეს დაედგინათ ვებ სერვერის დეტალები, მათ შორის მდებარეობა, რომელიც გამოიყენება მავნე პროგრამასა და სერვერს შორის კომუნიკაციისთვის.

როგორ მუშაობს ZNIU Dirty COW მავნე პროგრამა?

ეს საკმაოდ მარტივია, როგორ მუშაობს და მომხიბლავი უსაფრთხოების თვალსაზრისით. აპლიკაცია ჩამოტვირთავს დატვირთვას, რომელიც მას სჭირდება მიმდინარე მოწყობილობისთვის, რომელზეც მუშაობს და ამოაქვს ფაილში. ეს ფაილი შეიცავს ყველა სკრიპტის ან ELF ფაილს, რომელიც საჭიროა მავნე პროგრამის ფუნქციონირებისთვის. შემდეგ ის წერს ვირტუალურ დინამიურად დაკავშირებულ გაზიარებულ ობიექტს (vDSO), რომელიც, როგორც წესი, არის მექანიზმი მომხმარებლის აპლიკაციებისთვის (ანუ არა-root) ბირთვის შიგნით მუშაობისთვის. აქ SELinux-ის ლიმიტი არ არის და სწორედ აქ ხდება Dirty COW-ის „ჯადოსნობა“. ის ქმნის "საპირისპირო გარსს", რაც მარტივი სიტყვებით ნიშნავს, რომ მანქანა (ამ შემთხვევაში, თქვენი ტელეფონი) ახორციელებს ბრძანებებს თქვენს აპლიკაციაში, პირიქით. ეს საშუალებას აძლევს თავდამსხმელს, შემდეგ მოიპოვოს წვდომა მოწყობილობაზე, რასაც ZNIU აკეთებს SELinux-ის დაყენებით და უკანა კარის root shell-ის დაყენებით.

Ასე რომ, რა შემიძლია გავაკეთო?

სინამდვილეში, ყველაფერი რაც შეგიძლიათ გააკეთოთ არის აპლიკაციებისგან, რომლებიც არ არის Play Store-ში. Google-მა დაადასტურა TrendLabs რომ Google Play Protect ახლა ამოიცნობს აპლიკაციას. თუ თქვენს მოწყობილობას აქვს 2016 წლის დეკემბრის უსაფრთხოების პაჩი ან უფრო გვიან, თქვენ ასევე სრულიად უსაფრთხო ხართ.


წყარო: TrendLabs