Dirty COW було знайдено минулого року, але ніколи не використовувалося на Android, окрім пристроїв для рутингу. тепер ми бачимо перше зловмисне його використання. Зустрічайте ЗНІУ.
Брудна КОРОВА (Dirty Copy-on-Write) або CVE-2016-5195, — це помилка Linux 9-річної давності, яка була виявлена в жовтні минулого року. Це одна з найсерйозніших помилок, які будь-коли виявляли в ядрі Linux, і тепер шкідливе програмне забезпечення під назвою ZNIU було знайдено в дикій природі. Помилка була виправлена в оновленні системи безпеки за грудень 2016 року, але всі пристрої, які не отримали його, є вразливими. Скільки це пристроїв? Досить багато.
Як ви бачите вище, насправді існує значна кількість пристроїв із версією до Android 4.4, коли Google почав створювати патчі безпеки. Більше того, будь-який пристрій на Android 6.0 Marshmallow або старішої версії фактично опиниться під загрозою якщо вони не отримали жодних виправлень безпеки в грудні 2016 року, і якщо зазначені латки належним чином не спрямовані на помилку
. Зважаючи на недбалість багатьох виробників щодо оновлень безпеки, важко сказати, що більшість людей насправді захищені. Аналіз за TrendLabs розкрив багато інформації про ЗНІУ.ZNIU - Перша шкідлива програма, що використовує Dirty COW на Android
Спочатку давайте прояснимо одну річ, ЗНІУ є ні перше зафіксоване використання Dirty COW на Android. Фактично, користувач на наших форумах використав експлойт Dirty COW (DirtySanta — це просто Dirty COW) щоб розблокувати завантажувач LG V20. ZNIU — це лише перше зафіксоване використання помилки зі зловмисною метою. Ймовірно, це тому, що програма неймовірно складна. Здається, він активний у 40 країнах із понад 5000 зараженими користувачами на момент написання статті. Він маскується під порнографію та ігрові додатки, присутні в понад 1200 додатках.
Що робить шкідливе програмне забезпечення ZNIU Dirty COW?
По-перше, реалізація Dirty COW ЗНІУ працює лише на 64-бітній архітектурі ARM та X86. Звучить не так вже й погано, оскільки більшість флагманів на 64-розрядній архітектурі зазвичай мають принаймні виправлення безпеки від грудня 2016 року. однак, будь-які 32-розрядні пристроїтакож може бути чутливим до lovyroot або KingoRoot, які використовують два з шести руткітів ЗНІУ.
Але що робить ЗНІУ? Це в основному з’являється як програма, пов’язана з порнографічним вмістом, але її також можна знайти в програмах, пов’язаних з іграми. Після встановлення він перевіряє наявність оновлень для корисного навантаження ZNIU. Потім почнеться ескалація привілеїв, отримання кореневого доступу, обхід SELinux і встановлення бекдора в системі для майбутніх віддалених атак.
Після ініціалізації програми та встановлення бекдора вона починає надсилати інформацію про пристрій і оператора на сервер, розташований у Китаї. Потім він починає переказувати гроші на рахунок через платіжну службу оператора, але тільки якщо заражений користувач має китайський номер телефону. Потім повідомлення, що підтверджують транзакції, перехоплюються та видаляються. Для користувачів з-за меж Китаю їхні дані будуть зареєстровані та встановлено бекдор, але платежі з їхнього рахунку не здійснюватимуться. Отримана сума смішно мала, щоб не помітити, еквівалент 3 доларів на місяць. ZNIU використовує кореневий доступ для своїх дій, пов’язаних із SMS, оскільки, щоб взагалі взаємодіяти з SMS, програмі зазвичай потрібно надати доступ користувачеві. Він також може заразити інші програми, встановлені на пристрої. Усі комунікації зашифровані, включно з руткітами, завантаженими на пристрій.
Незважаючи на зазначене шифрування, процес обфускації був досить поганим TrendLabs змогли визначити деталі веб-сервера, включно з місцем розташування, який використовується для зв’язку між шкідливим програмним забезпеченням і сервером.
Як працює шкідливе програмне забезпечення ZNIU Dirty COW?
Це досить просто, як це працює, і захоплююче з точки зору безпеки. Програма завантажує корисне навантаження, необхідне для поточного пристрою, на якому вона працює, і розпаковує її у файл. Цей файл містить усі сценарії або файли ELF, необхідні для функціонування зловмисного програмного забезпечення. Потім він записує у віртуальний динамічно пов’язаний спільний об’єкт (vDSO), який зазвичай є механізмом надання користувальницьким програмам (тобто некореневим) простору для роботи в ядрі. Тут немає обмежень SELinux, і саме тут відбувається «магія» Dirty COW. Він створює «зворотну оболонку», яка простими словами означає, що машина (в даному випадку ваш телефон) виконує команди вашій програмі, а не навпаки. Це дозволяє зловмиснику потім отримати доступ до пристрою, що ZNIU робить, виправляючи SELinux і встановлюючи бекдорну кореневу оболонку.
Так що я можу зробити?
Дійсно, все, що ви можете зробити, це триматися подалі від програм, які не знаходяться в Play Store. Google підтвердив TrendLabs що Тепер Google Play Protect розпізнає програму. Якщо на вашому пристрої встановлено виправлення безпеки від грудня 2016 року або новіше, ви також у повній безпеці.
Джерело: TrendLabs