Dirty COW acum este abuzat pe Android de ZNIU

Dirty COW a fost găsit anul trecut, dar nu a fost niciodată folosit pe Android, cu excepția dispozitivelor de rootare. acum vedem prima utilizare rău intenționată a acestuia. Faceți cunoștință cu ZNIU.

VACĂ murdară (Dirty Copy-On-Write) sau CVE-2016-5195, este o eroare Linux veche de 9 ani care a fost descoperită în octombrie anul trecut. Este una dintre cele mai grave erori care au fost găsite vreodată în nucleul Linux, iar acum malware numit ZNIU a fost găsit în sălbăticie. Bug-ul a fost corectat în actualizarea de securitate din decembrie 2016, dar orice dispozitive care nu l-au primit sunt vulnerabile. Câte dispozitive sunt? Destul de mult.

După cum puteți vedea mai sus, există de fapt un număr considerabil de dispozitive din pre-Android 4.4, când Google a început să creeze corecții de securitate. În plus, orice dispozitiv cu Android 6.0 Marshmallow sau o versiune anterioară va fi de fapt în pericol cu excepția cazului în care au primit vreun patch de securitate în decembrie 2016, și cu excepția cazului în care patch-urile menționate au vizat corect bug-ul

. Cu neglijența multor producători față de actualizările de securitate, este greu de spus că majoritatea oamenilor sunt de fapt protejați. O analiză de către TrendLabs a dezvăluit o mulțime de informații despre ZNIU.

ZNIU - Primul program malware care folosește Dirty COW pe Android

Mai întâi să clarificăm un lucru, ZNIU este nu prima utilizare înregistrată a Dirty COW pe Android. De fapt, un utilizator de pe forumurile noastre a folosit exploit-ul Dirty COW (DirtySanta este practic doar Dirty COW) pentru a debloca bootloader-ul LG V20. ZNIU este doar prima utilizare înregistrată a bug-ului fiind folosită în scopuri rău intenționate. Este probabil că acest lucru se datorează faptului că aplicația este incredibil de complexă. Se pare că este activ în 40 de țări, cu peste 5000 de utilizatori infectați la momentul scrierii. Se deghizează în pornografie și aplicații de jocuri, prezente în peste 1200 de aplicații.

Ce face malware-ul ZNIU Dirty COW?

În primul rând, implementarea Dirty COW de la ZNIU funcționează numai pe arhitectura ARM și X86 pe 64 de biți. Acest lucru nu sună prea rău, deoarece majoritatea flagship-urilor pe arhitectura pe 64 de biți vor avea de obicei cel puțin corecția de securitate din decembrie 2016. In orice caz, orice dispozitiv pe 32 de bițipoate fi, de asemenea, susceptibil la lovyroot sau KingoRoot, pe care două dintre cele șase rootkit-uri ZNIU le folosesc.

Dar ce face ZNIU? Aceasta Mai ales apare ca o aplicație legată de pornografie, dar din nou poate fi găsită și în aplicațiile legate de jocuri. Odată instalat, verifică dacă există o actualizare pentru încărcarea utilă ZNIU. Apoi va începe escaladarea privilegiilor, obținând acces rădăcină, ocolind SELinux și instalând o ușă secundară în sistem pentru viitoare atacuri de la distanță.

Odată ce aplicația s-a inițializat și ușa din spate este instalată, aceasta începe să trimită informații despre dispozitiv și operator înapoi către un server situat în China continentală. Apoi începe să transfere bani într-un cont prin serviciul de plată al unui operator de transport, dar numai dacă utilizatorul infectat are un număr de telefon chinezesc. Mesajele care confirmă tranzacțiile sunt apoi interceptate și șterse. Utilizatorii din afara Chinei vor avea datele înregistrate și o ușă în spate instalată, dar nu vor avea plăți efectuate din contul lor. Suma luată este ridicol de mică pentru a evita notificarea, echivalentul a 3 dolari pe lună. ZNIU folosește accesul root pentru acțiunile sale legate de SMS-uri, deoarece pentru a interacționa cu SMS-ul, o aplicație ar trebui, în mod normal, să primească acces de către utilizator. Poate infecta și alte aplicații instalate pe dispozitiv. Toate comunicațiile sunt criptate, inclusiv încărcările utile rootkit descărcate pe dispozitiv.

În ciuda criptării menționate, procesul de ofuscare a fost suficient de prost încât TrendLabs au putut determina detaliile serverului web, inclusiv locația, utilizate pentru comunicarea între malware și server.

Cum funcționează malware-ul ZNIU Dirty COW?

Este destul de simplu cum funcționează și fascinant din punct de vedere al securității. Aplicația descarcă sarcina utilă de care are nevoie pentru dispozitivul curent pe care rulează și o extrage într-un fișier. Acest fișier conține toate fișierele script sau ELF necesare pentru funcționarea malware-ului. Apoi scrie pe un obiect partajat dinamic legat (vDSO), care este de obicei un mecanism pentru a oferi aplicațiilor utilizator (adică, non-root) un spațiu pentru a funcționa în nucleu. Nu există nicio limită SELinux aici și aici se întâmplă cu adevărat „magia” lui Dirty COW. Acesta creează un „shell invers”, ceea ce în termeni simpli înseamnă că mașina (în acest caz, telefonul) execută comenzi către aplicația dvs. în loc de invers. Acest lucru permite atacatorului să obțină apoi acces la dispozitiv, ceea ce ZNIU face prin corecțiile SELinux și instalând un shell rădăcină backdoor.

Deci ce pot face?

Într-adevăr, tot ce poți face este să stai departe de aplicațiile care nu se află în Magazinul Play. Google a confirmat că TrendLabs acea Google Play Protect va recunoaște acum aplicația. Dacă dispozitivul dvs. are corecția de securitate din decembrie 2016 sau mai târziu, sunteți, de asemenea, complet în siguranță.


Sursa: TrendLabs