Дирти ЦОВ је пронађен прошле године, али никада није коришћен на Андроид-у осим за рут уређаје. сада видимо његову прву злонамерну употребу. Упознајте ЗНИУ.
Прљава КРАВА (Дирти Цопи-Он-Врите), или ЦВЕ-2016-5195, је 9 година стара Линук грешка која је откривена у октобру прошле године. То је једна од најозбиљнијих грешака која је икада пронађена у Линук кернелу, а сада је малвер под називом ЗНИУ пронађен у дивљини. Грешка је закрпљена у безбедносном ажурирању из децембра 2016, али сви уређаји који га нису примили су рањиви. Колико је то уређаја? Доста.
Као што видите горе, заправо постоји приличан број уређаја из пре-Андроид 4.4, када је Гоогле почео да прави безбедносне закрпе. Штавише, сваки уређај на Андроид 6.0 Марсхмаллов или нижим верзијама заправо ће бити угрожен осим ако нису примили безбедносне закрпе после децембра 2016, и осим ако поменуте закрпе правилно циљају грешку. Уз немар многих произвођача за безбедносна ажурирања, тешко је рећи да је већина људи заправо заштићена. Анализа од ТрендЛабс је открио много информација о ЗНИУ.
ЗНИУ - Први злонамерни софтвер који користи Дирти ЦОВ на Андроиду
Прво да разјаснимо једну ствар, ЗНИУ јесте не прва забележена употреба Дирти ЦОВ на Андроиду. У ствари, корисник на нашим форумима је користио Дирти ЦОВ експлоатацију (ДиртиСанта је у суштини само Дирти ЦОВ) за откључавање покретачког програма ЛГ В20. ЗНИУ је само прва забележена употреба грешке која се користи у злонамерне сврхе. То је вероватно зато што је апликација невероватно сложена. Чини се да је активан у 40 земаља, са преко 5000 заражених корисника у време писања. Прерушава се у порнографију и апликације за игре, присутне у преко 1200 апликација.
Шта ради злонамерни софтвер ЗНИУ Дирти ЦОВ?
Прво, ЗНИУ-ова имплементација Дирти ЦОВ ради само на АРМ и Кс86 64-битној архитектури. Ово не звучи лоше, јер ће већина водећих модела на 64-битној архитектури обично имати најмање безбедносну закрпу из децембра 2016. Међутим, било који 32-битни уређајтакође може бити подложан на ловироот или КингоРоот, који користе два од шест руткита ЗНИУ.
Али шта ради ЗНИУ? То углавном појављује се као апликација која се односи на порнографију, али се опет може наћи иу апликацијама везаним за игре. Једном инсталиран, проверава да ли постоји ажурирање за ЗНИУ корисни терет. Затим ће започети ескалацију привилегија, добијање роот приступа, заобилажење СЕЛинук-а и инсталирање бацкдоор-а у систем за будуће даљинске нападе.
Када се апликација иницијализује и инсталира бацкдоор, она почиње да шаље информације о уређају и носиоцу назад на сервер који се налази у континенталној Кини. Затим почиње да преноси новац на рачун преко услуге плаћања оператера, али само ако заражени корисник има кинески телефонски број. Поруке које потврђују трансакције се затим пресрећу и бришу. Корисници изван Кине ће имати евидентиране своје податке и инсталирати бацкдоор, али неће имати уплате са свог налога. Узети износ је смешно мали да би се избегло обавештење, што је еквивалентно 3 долара месечно. ЗНИУ користи роот приступ за своје радње повезане са СМС-ом, јер да би уопште била у интеракцији са СМС-ом, корисник би обично морао да одобри приступ апликацији. Такође може заразити друге апликације инсталиране на уређају. Сва комуникација је шифрована, укључујући и руткит корисне податке преузете на уређај.
Упркос поменутом шифровању, процес замагљивања је био довољно лош ТрендЛабс успели да одреде детаље веб сервера, укључујући локацију, која се користи за комуникацију између малвера и сервера.
Како функционише злонамерни софтвер ЗНИУ Дирти ЦОВ?
Прилично је једноставно како то функционише и фасцинантно из безбедносне перспективе. Апликација преузима корисни терет који јој је потребан за тренутни уређај на којем ради и издваја га у датотеку. Ова датотека садржи све скрипте или ЕЛФ датотеке потребне за функционисање малвера. Затим пише у виртуелни динамички повезани дељени објекат (вДСО), који је обично механизам за давање корисничких апликација (тј. без роот-а) простора за рад унутар кернела. Овде не постоји ограничење за СЕЛинук, и ту се заиста дешава „магија“ Прљаве КРАВЕ. Он ствара „обрнуту шкољку“, што једноставним речима значи да машина (у овом случају ваш телефон) извршава команде вашој апликацији уместо обрнуто. Ово омогућава нападачу да добије приступ уређају, што ЗНИУ ради тако што закрпи СЕЛинук и инсталира бацкдоор роот схелл.
Па, шта могу учинити?
Заиста, све што можете да урадите је да се клоните апликација које нису у Плаи продавници. Гоогле је потврдио да ТрендЛабс то Гоогле Плаи заштита ће сада препознати апликацију. Ако ваш уређај има безбедносну закрпу из децембра 2016. или новију, такође сте потпуно безбедни.
Извор: ТрендЛабс