Dirty COW hittades förra året, men användes aldrig på Android utom för att rota enheter. nu ser vi den första skadliga användningen av den. Möt ZNIU.
Dirty COW (Dirty Copy-On-Write), eller CVE-2016-5195, är en 9 år gammal Linux-bugg som upptäcktes i oktober förra året. Det är en av de allvarligaste buggar som någonsin har hittats i Linux-kärnan, och nu har skadlig programvara kallad ZNIU hittats i naturen. Felet korrigerades i säkerhetsuppdateringen från december 2016, men alla enheter som inte har fått den är sårbara. Hur många enheter är det? Ganska mycket.
Som du kan se ovan finns det faktiskt ett ansenligt antal enheter från pre-Android 4.4, när Google började göra säkerhetskorrigeringar. Dessutom kommer alla enheter på Android 6.0 Marshmallow eller lägre faktiskt att vara i riskzonen såvida de inte fått några säkerhetskorrigeringar efter december 2016, och om inte nämnda patchar riktade in sig på felet. Med många tillverkares försumlighet med säkerhetsuppdateringar är det svårt att säga att de flesta faktiskt är skyddade. En analys av
ZNIU - Den första skadliga programvaran med Dirty COW på Android
Låt oss först få en sak klart, ZNIU är det inte den första inspelade användningen av Dirty COW på Android. Faktum är att en användare på våra forum använde Dirty COW exploit (DirtySanta är i princip bara Dirty COW) för att låsa upp starthanteraren för LG V20. ZNIU är bara den första registrerade användningen av buggen som används i ett skadligt syfte. Det är troligt att det beror på att applikationen är otroligt komplex. Det verkar vara aktivt i 40 länder, med över 5000 infekterade användare i skrivande stund. Den döljer sig i pornografi och spelapplikationer, som finns i över 1200 applikationer.
Vad gör ZNIU Dirty COW malware?
För det första fungerar ZNIU: s Dirty COW-implementering endast på ARM och X86 64-bitars arkitektur. Detta låter inte så illa, eftersom de flesta flaggskepp på 64-bitarsarkitektur vanligtvis kommer att ha säkerhetskorrigeringen från december 2016 åtminstone. Dock, alla 32-bitarsenheterkan också vara mottagliga till lovyroot eller KingoRoot, som två av de sex ZNIU rootkits använder.
Men vad gör ZNIU? Det för det mesta visas som en pornografisk relaterad app, men återigen kan den också hittas i spelrelaterade applikationer. När den har installerats söker den efter en uppdatering för ZNIU-nyttolasten. Det kommer sedan att påbörja privilegieeskalering, få root-åtkomst, kringgå SELinux och installera en bakdörr i systemet för framtida fjärrattacker.
När applikationen har initierats och bakdörren är installerad, börjar den skicka enhets- och operatörsinformation tillbaka till en server som ligger på Kinas fastland. Det börjar sedan överföra pengar till ett konto via en operatörs betaltjänst, men bara om den infekterade användaren har ett kinesiskt telefonnummer. Meddelanden som bekräftar transaktionerna fångas sedan upp och raderas. Användare utanför Kina kommer att ha sina data loggade och en bakdörr installerad men kommer inte att få betalningar gjorda från sitt konto. Beloppet som tas är löjligt litet för att undvika varsel, motsvarande 3 USD i månaden. ZNIU utnyttjar root-åtkomst för sina SMS-relaterade åtgärder, eftersom en applikation normalt skulle behöva beviljas åtkomst av användaren för att överhuvudtaget kunna interagera med SMS. Det kan också infektera andra applikationer installerade på enheten. All kommunikation är krypterad, inklusive rootkit-nyttolaster som laddas ner på enheten.
Trots nämnda kryptering var fördunklingsprocessen tillräckligt dålig för det TrendLabs kunde fastställa detaljerna för webbservern, inklusive plats, som används för kommunikation mellan skadlig programvara och servern.
Hur fungerar ZNIU Dirty COW malware?
Det är ganska enkelt hur det fungerar, och fascinerande ur ett säkerhetsperspektiv. Applikationen laddar ner nyttolasten den behöver för den aktuella enheten den körs på och extraherar den till en fil. Den här filen innehåller alla skript- eller ELF-filer som krävs för att skadlig programvara ska fungera. Den skriver sedan till virtuella Dynamically Linked Shared Object (vDSO), vilket vanligtvis är en mekanism för att ge användarapplikationer (dvs icke-root) ett utrymme att arbeta i kärnan. Det finns ingen SELinux-gräns här, och det är här "magin" med Dirty COW verkligen händer. Det skapar ett "omvänt skal", vilket enkelt uttryckt betyder att maskinen (i det här fallet din telefon) kör kommandon till din applikation istället för tvärtom. Detta tillåter angriparen att sedan få tillgång till enheten, vilket ZNIU gör genom att patcha SELinux och installera ett bakdörrsrotskal.
Så vad kan jag göra?
Egentligen, allt du kan göra är att hålla dig borta från applikationer som inte finns i Play Butik. Google har bekräftat att TrendLabs den där Google Play Protect kommer nu att känna igen appen. Om din enhet har säkerhetspatchen från december 2016 eller senare är du också helt säker.
Källa: TrendLabs