Dirty COW был найден в прошлом году, но никогда не использовался на Android, за исключением рутирования устройств. теперь мы видим первое злонамеренное его использование. Знакомьтесь, ЗНИУ.
Грязная КОРОВА (Грязное копирование при записи) или CVE-2016-5195., — это ошибка Linux 9-летней давности, обнаруженная в октябре прошлого года. Это одна из самых серьезных ошибок, когда-либо обнаруженных в ядре Linux, и теперь в дикой природе обнаружено вредоносное ПО, получившее название ZNIU. Ошибка была исправлена в обновлении безопасности от декабря 2016 года, но любые устройства, которые его не получили, уязвимы. Сколько это устройств? Достаточно много.
Как вы можете видеть выше, на самом деле существует значительное количество устройств до Android 4.4, когда Google начал выпускать исправления безопасности. Более того, любое устройство на Android 6.0 Marshmallow или более ранней версии фактически окажется под угрозой. если они не получили никаких обновлений безопасности после декабря 2016 года, и если указанные патчи не направлены должным образом на устранение ошибки
. Учитывая пренебрежение многих производителей к обновлениям безопасности, трудно сказать, что большинство людей действительно защищены. Анализ, проведенный ТрендЛабс раскрыл много информации о ЗНИУ.ЗНИУ — первое вредоносное ПО, использующее Dirty COW на Android
Для начала давайте проясним одну вещь: ЗНИУ – это нет первое зарегистрированное использование Dirty COW на Android. Фактически, пользователь на нашем форуме использовал эксплойт Dirty COW (DirtySanta — это, по сути, просто Dirty COW). разблокировать загрузчик LG V20. ZNIU — это только первое зарегистрированное использование ошибки в злонамеренных целях. Вероятно, это связано с тем, что приложение невероятно сложное. Судя по всему, он активен в 40 странах, и на момент написания статьи у него было более 5000 зараженных пользователей. Он маскируется в порнографии и игровых приложениях, присутствующих в более чем 1200 приложениях.
Что делает вредоносная программа ZNIU Dirty COW?
Во-первых, реализация Dirty COW от ZNIU работает только на 64-битной архитектуре ARM и X86. Это звучит не так уж и плохо, поскольку большинство флагманов с 64-битной архитектурой обычно имеют как минимум исправление безопасности от декабря 2016 года. Однако, любые 32-битные устройстватакже может быть восприимчивым на lovyroot или KingoRoot, которые используют два из шести руткитов ZNIU.
Но чем занимается ЗНИУ? Это по большей части появляется как приложение, связанное с порнографией, но его также можно найти в приложениях, связанных с играми. После установки он проверяет наличие обновлений для полезной нагрузки ZNIU. Затем он начнет повышение привилегий, получение root-доступа, обход SELinux и установку бэкдора в системе для будущих удаленных атак.
После инициализации приложения и установки бэкдора оно начинает отправлять информацию об устройстве и операторе связи обратно на сервер, расположенный в материковом Китае. Затем он начинает переводить деньги на счет через платежный сервис оператора связи. но только если у зараженного пользователя есть китайский номер телефона. Сообщения, подтверждающие транзакции, затем перехватываются и удаляются. Данные пользователей из-за пределов Китая будут регистрироваться и устанавливаться бэкдор, но платежи с их учетной записи производиться не будут. Взимаемая сумма смехотворно мала, чтобы избежать уведомления, и равна 3 долларам в месяц. ZNIU использует root-доступ для действий, связанных с SMS, поскольку для любого взаимодействия с SMS приложению обычно необходимо предоставить доступ пользователю. Он также может заразить другие приложения, установленные на устройстве. Все сообщения зашифрованы, включая полезные данные руткитов, загруженные на устройство.
Несмотря на указанное шифрование, процесс запутывания был настолько плохим, что ТрендЛабс смогли определить детали веб-сервера, включая его местоположение, используемого для связи между вредоносным ПО и сервером.
Как работает вредоносная программа ZNIU Dirty COW?
Принцип работы довольно прост и интересен с точки зрения безопасности. Приложение загружает полезные данные, необходимые для текущего устройства, на котором оно работает, и извлекает их в файл. Этот файл содержит все файлы сценариев или ELF, необходимые для работы вредоносной программы. Затем он записывает данные в виртуальный динамически связанный общий объект (vDSO), который обычно представляет собой механизм предоставления пользовательским приложениям (т. е. не-root) пространства для работы внутри ядра. Здесь нет ограничений SELinux, и именно здесь действительно происходит «волшебство» Dirty COW. Он создает «обратную оболочку», что, проще говоря, означает, что машина (в данном случае ваш телефон) выполняет команды вашему приложению, а не наоборот. Это позволяет злоумышленнику получить доступ к устройству, что и делает ZNIU, исправляя SELinux и устанавливая бэкдор-корневую оболочку.
Так что я могу сделать?
На самом деле, все, что вы можете сделать, это держаться подальше от приложений, которых нет в Play Store. Google подтвердил ТрендЛабс что Google Play Protect теперь распознает приложение. Если на вашем устройстве установлено исправление безопасности от декабря 2016 г. или более поздней версии, вы также в полной безопасности.
Источник: ТрендЛабс