Рекомендуємо, 2024

Вибір Редакції

Уразливість корів: Як ZNIU використовує його для атаки на Android

Оскільки Linux є проектом з відкритим кодом, важко знайти недоліки безпеки в його вихідному коді, оскільки тисячі користувачів активно продовжують перевіряти й фіксувати їх. Завдяки такому проактивному підходу, навіть коли виявлено недолік, його відразу ж виправляють. Ось чому це було так дивно, коли в минулому році був виявлений експлуатат, який уникнув суворої належної перевірки всіх користувачів протягом останніх 9 років. Так, ви читали це правильно, хоча експлуатат був виявлений у жовтні 2016 року, він існував у коді ядра Linux з останніх 9 років. Цей тип уразливості, який є типом помилки ескалації привілеїв, відомий як уразливість Dirty Cow (номер каталогу коду ядра Linux - CVE-2016-5195).

Хоча ця уразливість була виправлена ​​для Linux за тиждень після свого відкриття, вона залишила всі пристрої Android вразливими до цього подвигу (Android базується на ядрі Linux). Android виправлений в грудні 2016 року, однак, через фрагментований характер екосистеми Android, все ще багато пристроїв Android, які не отримали оновлення і залишаються вразливими до нього. Більш страшним є те, що новий Android зловмисне програмне забезпечення під назвою ZNIU було виявлено всього кілька днів тому, що використовує уразливість Dirty Cow. У цій статті ми розглянемо вразливість Dirty Cow і те, як її зловживають на Android за допомогою зловмисних програм ZNIU.

Що таке вразливість корів?

Як згадувалося вище, уразливість Dirty Cow - це тип експлуатації ескалації привілеїв, який можна використовувати для надання привілеї суперкористувачеві будь-кому. В основному, використовуючи цю вразливість, будь-який користувач зі шкідливими намірами може надати собі привілей надкористувача, тим самим маючи повний кореневий доступ до пристрою жертви. Отримання кореневого доступу до пристрою жертви надає зловмиснику повний контроль над пристроєм, і він може витягти всі дані, що зберігаються на пристрої, без того, щоб користувач ставав більш розумним.

Що таке ЗНІУ і Що має робити з нею брудна корова?

ZNIU є першим зареєстрованим шкідливим програмним забезпеченням для Android, який використовує вразливість Dirty Cow для атаки пристроїв Android. Зловмисне програмне забезпечення використовує уразливість Dirty Cow для отримання кореневого доступу до пристроїв жертви. В даний час виявлено, що шкідлива програма ховається в більш ніж 1200 ігрових і порнографічних додатках для дорослих. На момент публікації цієї статті було виявлено, що понад 5000 користувачів у 50 країнах постраждали від неї.

Які пристрої Android є вразливими для ZNIU?

Після виявлення уразливості Dirty Cow (жовтень 2016 року) Google випустила патч у грудні 2016 року, щоб виправити цю проблему. Однак патч був випущений для пристроїв Android, які працювали на Android KitKat (4.4) або вище. Згідно розриву розповсюдження ОС Android на Google, більше 8% смартфонів Android все ще працюють на нижчих версіях Android. З тих, що працюють на Android 4.4 на Android 6.0 (Marshmallow), тільки ті пристрої є безпечними, які отримали і встановили груповий патч безпеки для своїх пристроїв.

Це багато пристроїв Android, які мають потенціал експлуатації. Тим не менш, люди можуть прийняти заспокоєння в тому, що ZNIU використовує дещо модифіковану версію вразливості Dirty Cow і, отже, вона виявилася успішною тільки проти тих пристроїв Android, які використовують архітектуру ARM / X86 . Проте, якщо ви є власником Android, краще перевірити, чи встановлено виправлення безпеки грудня чи ні.

ЗНІУ: Як це працює?

Після того, як користувач завантажив шкідливу програму, яка була інфікована шкідливим програмним забезпеченням ZNIU, під час запуску програми зловмисна програма ZNIU автоматично зв'яжеться зі своїми серверами команд і керування (C&C), щоб отримати будь-які оновлення. Як тільки він оновлюється, він буде використовувати ескалацію привілеїв (Dirty Cow), щоб отримати корінний доступ до пристрою жертви. Після того як він отримає кореневий доступ до пристрою, він збирає інформацію користувача з пристрою .

В даний час зловмисне програмне забезпечення використовує інформацію користувача, щоб зв'язатися з оператором мережі жертви, виставивши себе як сам користувач. Після перевірки автентичності він здійснюватиме мікро-транзакції на основі SMS і здійснюватиме платіж через платіжну службу перевізника. Шкідлива програма достатньо розумна, щоб видалити всі повідомлення з пристрою після того, як відбулися транзакції. Таким чином, жертва не має уявлення про операції. Як правило, операції здійснюються за дуже невеликі суми ($ 3 / місяць). Це ще одна запобіжна дія, яку вживає нападник, щоб переконатися, що жертва не виявляє коштів.

Після відстеження транзакцій було виявлено, що гроші були передані фіктивному компанії, що базується в Китаї . Оскільки транзакції, засновані на операторах, не мають права передавати гроші на міжнародному рівні, тільки ті користувачі, які постраждали в Китаї, будуть страждати від цих незаконних операцій. Проте користувачі, що знаходяться за межами Китаю, все ще будуть встановлювати на своєму пристрої шкідливі програми, які можна буде активувати в будь-який час віддалено, роблячи їх потенційними цілями. Навіть якщо міжнародні жертви не страждають від незаконних транзакцій, бекдор надає зловмисникові можливість ввести більше шкідливого коду в пристрій.

Як врятувати себе від ЗНІУ Malware

Ми написали цілу статтю про захист вашого пристрою Android від шкідливих програм, які можна прочитати, натиснувши тут. Головне, використовувати здоровий глузд і не встановлювати програми з ненадійних джерел. Навіть у випадку зловмисного програмного забезпечення ZNIU ми бачили, що зловмисне програмне забезпечення доставляється до мобільного пристрою жертви, коли вони встановлюють програми для порнографічних або дорослих ігор, які створюються невідповідними розробниками. Щоб захистити від цього зловмисне програмне забезпечення, переконайтеся, що ваш пристрій перебуває на поточному патчі безпеки від Google. Експлуатат був виправлений патчем безпеки від грудня (2016) від Google, отже, кожен, хто має встановлений патч, є безпечним від шкідливих програм ZNIU. Тим не менш, в залежності від вашого OEM, ви, можливо, не отримали оновлення, тому завжди краще знати про всі ризики і вживати необхідні запобіжні заходи з вашого боку. Знову ж таки, все, що ви повинні і не повинні робити, щоб зберегти свій пристрій від зараження шкідливим програмним забезпеченням, згадується в статті, яка пов'язана вище.

Захистіть свій Android від зараження шкідливими програмами

Останні пару років спостерігається зростання кількості атак зловмисних програм на Android. Уразливість Dirty Cow була однією з найбільших подвигів, яка коли-небудь була виявлена, і побачивши, як ZNIU використовує цю уразливість, це просто жахливо. ZNIU особливо турбує через обсяг пристроїв, які він впливає, і необмежений контроль, який він надає нападнику. Однак, якщо ви знаєте про проблеми та вживаєте необхідні заходи безпеки, ваш пристрій буде безпечним від цих потенційно небезпечних атак. Отже, спочатку переконайтеся, що ви оновлюєте останні оновлення безпеки від Google, як тільки ви їх отримаєте, а потім тримайтеся подалі від ненадійних і підозрілих програм, файлів і посилань. Що, на вашу думку, слід захищати від атак зловмисних програм. Дайте нам знати свої думки з цього питання, відкинувши їх у розділі коментарів нижче.

Top