Dirty COW został znaleziony w zeszłym roku, ale nigdy nie był używany na Androidzie, z wyjątkiem urządzeń do rootowania. teraz mamy do czynienia z pierwszym jego złośliwym użyciem. Poznaj ZNIU.
Brudna krowa (Brudna kopia przy zapisie) lub CVE-2016-5195, to 9-letni błąd Linuksa, który został odkryty w październiku ubiegłego roku. Jest to jeden z najpoważniejszych błędów, jakie kiedykolwiek wykryto w jądrze Linuksa, a teraz w środowisku naturalnym wykryto szkodliwe oprogramowanie o nazwie ZNIU. Błąd został załatany w aktualizacji zabezpieczeń z grudnia 2016 r., ale każde urządzenie, które go nie otrzymało, jest podatne na ataki. Ile to urządzeń? Sporo.
Jak widać powyżej, istnieje naprawdę spora liczba urządzeń z wersji wcześniejszej niż Android 4.4, kiedy Google zaczął tworzyć poprawki bezpieczeństwa. Co więcej, każde urządzenie z systemem Android 6.0 Marshmallow lub starszym będzie zagrożone chyba że otrzymali jakieś poprawki zabezpieczeń po grudniu 2016 r., i chyba że wspomniane łatki właściwie ukierunkowały błąd
. Biorąc pod uwagę zaniedbanie wielu producentów w zakresie aktualizacji zabezpieczeń, trudno powiedzieć, że większość ludzi jest rzeczywiście chroniona. Analiza wg Laboratoria Trendów ujawnił wiele informacji na temat ZNIU.ZNIU – pierwszy szkodliwy program wykorzystujący Dirty COW na Androida
Najpierw wyjaśnijmy sobie jedno, ZNIU jest nie pierwsze odnotowane użycie Dirty COW na Androidzie. W rzeczywistości użytkownik na naszym forum użył exploita Dirty COW (DirtySanta to w zasadzie po prostu Dirty COW) aby odblokować bootloader LG V20. ZNIU to dopiero pierwsze odnotowane użycie błędu w złośliwym celu. Prawdopodobnie dzieje się tak dlatego, że aplikacja jest niezwykle złożona. Wydaje się, że jest aktywny w 40 krajach i w chwili pisania tego tekstu miał ponad 5000 zarażonych użytkowników. Maskuje się w aplikacjach pornograficznych i grach, obecnych w ponad 1200 aplikacjach.
Co robi złośliwe oprogramowanie ZNIU Dirty COW?
Po pierwsze, implementacja Dirty COW firmy ZNIU działa tylko na 64-bitowej architekturze ARM i X86. Nie brzmi to tak źle, ponieważ większość statków flagowych o architekturze 64-bitowej zwykle będzie miała przynajmniej aktualizację zabezpieczeń z grudnia 2016 roku. Jednakże, dowolne urządzenia 32-bitowemoże być również podatny do lovyroot lub KingoRoot, z których korzystają dwa z sześciu rootkitów ZNIU.
Ale co robi ZNIU? To głównie pojawia się jako aplikacja związana z pornografią, ale można ją również znaleźć w aplikacjach związanych z grami. Po zainstalowaniu sprawdza dostępność aktualizacji ładunku ZNIU. Następnie rozpocznie eskalację uprawnień, uzyska dostęp do konta root, ominie SELinux i zainstaluje backdoora w systemie na potrzeby przyszłych zdalnych ataków.
Po zainicjowaniu aplikacji i zainstalowaniu backdoora zaczyna wysyłać informacje o urządzeniu i operatorze z powrotem do serwera zlokalizowanego w Chinach kontynentalnych. Następnie rozpoczyna przelewanie pieniędzy na konto za pośrednictwem usługi płatniczej operatora, ale tylko wtedy, gdy zainfekowany użytkownik posiada chiński numer telefonu. Wiadomości potwierdzające transakcje są następnie przechwytywane i usuwane. Dane użytkowników spoza Chin będą rejestrowane i instalowany backdoor, ale nie będą mogli dokonywać płatności ze swojego konta. Pobrana kwota jest śmiesznie mała, aby uniknąć powiadomienia, równowartość 3 dolarów miesięcznie. ZNIU wykorzystuje dostęp root do swoich działań związanych z SMS-ami, ponieważ aby w ogóle wchodzić w interakcję z SMS-ami, aplikacja zwykle musiałaby uzyskać dostęp od użytkownika. Może także infekować inne aplikacje zainstalowane na urządzeniu. Cała komunikacja, łącznie z rootkitami pobranymi na urządzenie, jest szyfrowana.
Pomimo wspomnianego szyfrowania proces zaciemniania był na tyle słaby, że Laboratoria Trendów byli w stanie określić szczegóły serwera internetowego, w tym lokalizację, wykorzystywane do komunikacji pomiędzy złośliwym oprogramowaniem a serwerem.
Jak działa złośliwe oprogramowanie ZNIU Dirty COW?
Działa to dość prosto i jest fascynujące z punktu widzenia bezpieczeństwa. Aplikacja pobiera ładunek potrzebny dla bieżącego urządzenia, na którym działa, i wyodrębnia go do pliku. Plik ten zawiera wszystkie pliki skryptów lub ELF wymagane do działania złośliwego oprogramowania. Następnie zapisuje do wirtualnego dynamicznie połączonego obiektu współdzielonego (vDSO), który jest zwykle mechanizmem zapewniającym aplikacjom użytkownika (tj. innym niż root) przestrzeń do pracy w jądrze. Nie ma tu żadnych ograniczeń dla SELinuksa i to tutaj naprawdę dzieje się „magia” Dirty COW. Tworzy „odwrotną powłokę”, co w uproszczeniu oznacza, że maszyna (w tym przypadku Twój telefon) wykonuje polecenia dla Twojej aplikacji, a nie na odwrót. Umożliwia to atakującemu uzyskanie dostępu do urządzenia, co robi ZNIU, łatając SELinux i instalując powłokę root backdoora.
Więc co mogę zrobić?
Naprawdę jedyne, co możesz zrobić, to trzymać się z daleka od aplikacji, których nie ma w Sklepie Play. Google potwierdziło Laboratoria Trendów To Google Play Protect rozpozna teraz aplikację. Jeśli na Twoim urządzeniu zainstalowano poprawkę zabezpieczeń z grudnia 2016 r. lub nowszą, również jesteś całkowicie bezpieczny.
Źródło: TrendLabs