Siden Linux er et åpen kildekode-prosjekt, er det vanskelig å finne sikkerhetsfeil i kildekoden, da tusenvis av brukere aktivt holder kontroller og fikser det samme. På grunn av denne proaktive tilnærmingen, selv når det oppdages en feil, blir den oppdatert umiddelbart. Derfor var det så overraskende da en utnytning ble oppdaget i fjor, som har unngått den strenge due diligence av alle brukerne de siste 9 årene. Ja, du leser det riktig, selv om utnyttelsen ble oppdaget i oktober 2016, hadde den eksistert inne i Linux-kjernekoden siden siste 9 årene. Denne typen sikkerhetsproblem, som er en type privilegium for eskalering, er kjent som sårbarheten for skitten ku (Linux-kjernebug katalognummer - CVE-2016-5195).
Selv om dette sikkerhetsproblemet ble lastet opp for Linux en uke etter oppdagelsen, forlot den alle Android-enhetene som er sårbare for denne utnyttelsen (Android er basert på Linux-kjernen). Android-patchen fulgte i desember 2016, men på grunn av den fragmenterte naturen til Android-økosystemet er det fortsatt mange Android-enheter som ikke har mottatt oppdateringen og fortsatt er sårbare for den. Det som er mer skremmende er at en ny Android malware kalt ZNIU ble oppdaget bare et par dager tilbake, som utnytter Dirty Cow sårbarheten. I denne artikkelen vil vi ta en grundig titt på sårbarheten for skitten ku og hvordan den blir misbrukt på Android av ZNIU malware.
Hva er sårbar ko sårbarhet?
Som nevnt ovenfor, er sårbarheten for Dirty Cow en type eskalering av privilegier som kan brukes til å gi superbrukerrettigheter til noen. I utgangspunktet kan bruker med skadelig hensikt ved å bruke dette sikkerhetsproblemet gi seg en superbrukerrettighet, og dermed ha fullstendig root tilgang til et offers enhet. Å få roten tilgang til et offers enhet gir angriperen full kontroll over enheten, og han kan trekke ut alle dataene som er lagret på enheten, uten at brukeren blir noe klokere.
Hva er ZNIU og hva skitten ku må gjøre med den?
ZNIU er den første registrerte skadelig programvare for Android, som bruker Svært Koe-sårbarheten til å angripe Android-enheter. Malware bruker Dirty Cow sårbarhet for å få rodfunnskap til offerets enheter. Foreløpig har malware blitt oppdaget for å gjemme seg i mer enn 1200 voksne spill og pornografiske apper. På tidspunktet for publisering av denne artikkelen har mer enn 5000 brukere over 50 land blitt funnet å bli påvirket av det.
Hvilke Android-enheter er utsatt for ZNIU?
Etter oppdagelsen av den skitne ku-sårbarheten (oktober 2016) ga Google ut en oppdatering i desember 2016 for å fikse dette problemet. Platen ble imidlertid gitt ut for Android-enheter som kjørte på Android KitKat (4.4) eller høyere. Ifølge brudd på Android OS-distribusjon fra Google, kjører mer enn 8% av Android-smarttelefonene fortsatt på lavere versjoner av Android. Av de som kjører på Android 4.4 til Android 6.0 (Marshmallow), er bare de enhetene trygge som har mottatt og installert sikkerhetsoppdateringen fra desember til sine enheter.
Det er mange Android-enheter som har potensial til å bli utnyttet. Men folk kan ta trøst i at ZNIU bruker en noe modifisert versjon av Dirty Cow-sårbarheten, og det har derfor vist seg å lykkes bare mot de Android-enhetene som bruker ARM / X86 64-bitarkitekturen . Likevel, hvis du er en Android-eier, ville det være bedre å sjekke om du har installert desember-sikkerhetsoppdateringen eller ikke.
ZNIU: Hvordan virker det?
Når brukeren har lastet ned en skadelig app som har blitt smittet med ZNIU malware, vil ZNIU malware automatisk kontakte og koble til sine kommando- og kontroll (C & C) servere for å få oppdateringer hvis tilgjengelig. Når den har oppdatert seg, vil den bruke privilegium eskalering (Dirty Cow) utnytte for å få roten tilgang til offerets enhet. Når den har root tilgang til enheten, vil den høste brukerens informasjon fra enheten .
Foreløpig bruker malware brukerbrukerinformasjonen til å kontakte offerets nettoperatør ved å utgjøre seg som brukeren selv. Når den er autentisert, vil den utføre SMS-baserte mikrotransaksjoner og samle inn betaling via transportørens betalingstjeneste. Malware er intelligent nok til å slette alle meldingene fra enheten etter at transaksjonene har funnet sted. Dermed har offeret ingen anelse om transaksjonene. Vanligvis gjennomføres transaksjonene for svært små beløp ($ 3 / måned). Dette er en annen forholdsregel tatt av angriperen for å sikre at offeret ikke oppdager fondoverføringene.
Etter å ha sporet transaksjonene ble det funnet at pengene ble overført til et dummy selskap basert i Kina . Siden operatørbaserte transaksjoner ikke er autorisert til å overføre penger internasjonalt, vil bare de som påvirkes i Kina, lide disse ulovlige transaksjonene. Brukerne utenfor Kina vil imidlertid fortsatt ha malware installert på enheten, som kan aktiveres når som helst eksternt, noe som gjør dem potensielle mål. Selv om de internasjonale ofrene ikke lider av ulovlige transaksjoner, gir bakdøren angriperen en mulighet til å injisere mer ondsinnet kode i enheten.
Slik lagrer du deg fra ZNIU Malware
Vi har skrevet en hel artikkel om å beskytte Android-enheten din mot skadelig programvare, som du kan lese ved å klikke her. Den grunnleggende tingen er å bruke sunn fornuft og ikke installere appene fra usikre kilder. Selv når det gjelder ZNIU-malware, har vi sett at malware er levert til offerets mobil når de installerer pornografiske eller voksenspillingsapps, som er laget av utrolige utviklere. For å beskytte mot denne spesifikke skadelig programvare, må du kontrollere at enheten din er i gjeldende sikkerhetsoppdatering fra Google. Utnyttelsen ble oppdatert med sikkerhetsoppdateringen fra desember (2016) fra Google, derfor er alle som har den oppdateringen installert, trygg fra ZNIU-malware. Likevel, avhengig av OEM, har du kanskje ikke mottatt oppdateringen, og derfor er det alltid bedre å være oppmerksom på alle risikoene og ta nødvendige forholdsregler fra din side. Igjen, alt du bør og ikke skal gjøre for å lagre enheten fra å bli smittet av en skadelig programvare, er nevnt i artikkelen som er koblet over.
Beskytt din Android fra å bli smittet av skadelig programvare
De siste par årene har opplevd en økning i malwareangrep på Android. Sværhet i skitten ku var en av de største utnyttelsene som noensinne har blitt oppdaget og å se hvordan ZNIU utnytter dette sårbarheten, er bare forferdelig. ZNIU er spesielt bekymringsfullt på grunn av omfanget av enheter det påvirker, og den ukontrollerte kontrollen som den gir til angriperen. Men hvis du er klar over problemene og tar nødvendige forholdsregler, vil enheten være trygg fra disse potensielt farlige angrepene. Så sørg først for at du oppdaterer de nyeste sikkerhetsoppdateringene fra Google så fort du får dem, og hold deg unna ikke-troverdige og mistenkelige apper, filer og koblinger. Hva tror du man skal gjøre, beskytter enheten mot malware angrep. Gi oss beskjed om dine tanker om emnet ved å slippe dem ned i kommentarfeltet nedenfor.
