Dirty COW werd vorig jaar gevonden, maar werd nooit op Android gebruikt, behalve voor het rooten van apparaten. nu zien we het eerste kwaadaardige gebruik ervan. Maak kennis met ZNIU.
Vuile KOE (Vuile Copy-On-Write), of CVE-2016-5195, is een 9 jaar oude Linux-bug die vorig jaar oktober werd ontdekt. Het is een van de ernstigste bugs die ooit in de Linux-kernel zijn aangetroffen, en nu is er ook malware met de naam ZNIU in het wild aangetroffen. De bug is verholpen in de beveiligingsupdate van december 2016, maar apparaten die deze niet hebben ontvangen, zijn kwetsbaar. Hoeveel apparaten zijn dat? Best veel.
Zoals je hierboven kunt zien, zijn er feitelijk een aanzienlijk aantal apparaten van vóór Android 4.4, toen Google begon met het maken van beveiligingspatches. Bovendien loopt elk apparaat met Android 6.0 Marshmallow of lager feitelijk gevaar tenzij ze na december 2016 beveiligingspatches hebben ontvangen, en tenzij de patches de bug op de juiste manier hebben aangepakt. Met de nalatigheid van veel fabrikanten op het gebied van beveiligingsupdates is het moeilijk te zeggen dat de meeste mensen daadwerkelijk worden beschermd. Een analyse van
ZNIU - De eerste malware die Dirty COW op Android gebruikt
Laten we eerst één ding duidelijk maken: ZNIU is dat wel niet het eerste geregistreerde gebruik van Dirty COW op Android. In feite heeft een gebruiker op ons forum de Dirty COW-exploit gebruikt (DirtySanta is eigenlijk gewoon Dirty COW) om de bootloader van de LG V20 te ontgrendelen. ZNIU is slechts het eerste geregistreerde gebruik van de bug voor kwaadaardige doeleinden. Dit komt waarschijnlijk doordat de toepassing ongelooflijk complex is. Het lijkt actief te zijn in 40 landen, met op het moment van schrijven meer dan 5000 geïnfecteerde gebruikers. Het vermomt zich in pornografische en gametoepassingen, aanwezig in meer dan 1200 toepassingen.
Wat doet de ZNIU Dirty COW-malware?
Ten eerste werkt de Dirty COW-implementatie van ZNIU alleen op ARM- en X86 64-bit-architectuur. Dit klinkt niet zo slecht, aangezien de meeste vlaggenschepen met een 64-bits architectuur doorgaans op zijn minst de beveiligingspatch van december 2016 zullen hebben. Echter, alle 32-bits apparatenkan ook vatbaar zijn naar lovyroot of KingoRoot, die twee van de zes ZNIU-rootkits gebruiken.
Maar wat doet ZNIU? Het grotendeels verschijnt als een pornografisch gerelateerde app, maar kan ook weer gevonden worden in gamegerelateerde applicaties. Eenmaal geïnstalleerd, controleert het of er een update is voor de ZNIU-payload. Het zal dan beginnen met de escalatie van bevoegdheden, het verkrijgen van root-toegang, het omzeilen van SELinux en het installeren van een achterdeur in het systeem voor toekomstige aanvallen op afstand.
Zodra de applicatie is geïnitialiseerd en de achterdeur is geïnstalleerd, begint deze apparaat- en providerinformatie terug te sturen naar een server op het vasteland van China. Vervolgens begint het geld over te maken naar een rekening via de betalingsdienst van een vervoerder, maar alleen als de geïnfecteerde gebruiker een Chinees telefoonnummer heeft. De berichten die de transacties bevestigen, worden vervolgens onderschept en verwijderd. Bij gebruikers van buiten China worden hun gegevens geregistreerd en wordt er een achterdeur geïnstalleerd, maar er worden geen betalingen gedaan via hun account. Het opgenomen bedrag is belachelijk klein om een opzegtermijn te vermijden, het equivalent van $ 3 per maand. ZNIU maakt gebruik van root-toegang voor zijn SMS-gerelateerde acties, aangezien een applicatie normaal gesproken toegang moet krijgen tot de gebruiker om überhaupt met SMS te kunnen communiceren. Het kan ook andere applicaties infecteren die op het apparaat zijn geïnstalleerd. Alle communicatie is gecodeerd, inclusief de rootkit-payloads die op het apparaat zijn gedownload.
Ondanks de genoemde encryptie was het verduisteringsproces slecht genoeg TrendLabs konden de details bepalen van de webserver, inclusief de locatie, die werd gebruikt voor de communicatie tussen de malware en de server.
Hoe werkt de ZNIU Dirty COW-malware?
De manier waarop het werkt is vrij eenvoudig en fascinerend vanuit veiligheidsperspectief. De applicatie downloadt de payload die nodig is voor het huidige apparaat waarop deze wordt uitgevoerd en extraheert deze naar een bestand. Dit bestand bevat alle script- of ELF-bestanden die nodig zijn om de malware te laten functioneren. Het schrijft vervolgens naar virtueel Dynamically Linked Shared Object (vDSO), wat meestal een mechanisme is om gebruikersapplicaties (dwz niet-root) een ruimte te geven om binnen de kernel te werken. Er is hier geen SELinux-limiet, en dit is waar de "magie" van Dirty COW echt gebeurt. Het creëert een "omgekeerde shell", wat in eenvoudige bewoordingen betekent dat de machine (in dit geval uw telefoon) opdrachten uitvoert naar uw applicatie in plaats van andersom. Hierdoor kan de aanvaller vervolgens toegang krijgen tot het apparaat, wat ZNIU doet door SELinux te patchen en een achterdeur-rootshell te installeren.
Dus wat kan ik doen?
Het enige dat u eigenlijk kunt doen, is wegblijven van applicaties die niet in de Play Store staan. Google heeft dit bevestigd TrendLabs Dat Google Play Protect herkent de applicatie nu. Als uw apparaat de beveiligingspatch van december 2016 of later heeft, bent u ook volkomen veilig.
Bron: TrendLabs