ZNIU:首例利用脏牛漏洞的Android恶意软件 专门瞄准使用中国运营商服务的用户

前情提要

近日,有研究人员发现首例在野外的利用脏牛漏洞(Dirty COW)的Android平台恶意软件,将其命名为ZNIU。

截止到上个月,ZNIU恶意软件的影响范围已经超过40个国家,大多数受害者是中国和印度的Android用户,美国、日本、迦南达、德国和印度尼西亚也发现了受感染的情况。目前已检测到的受影响的用户超过5000名。


*注释:根据后文中描述的ZNIU恶意软件的传播途径和获利方式,笔者推测中国以外的受感染用户很可能也是惯用中文的Android用户。


ZNIU恶意软件的工作机制

这款ZNIU恶意软件能够绕过Linux平台上的强制访问控制系统SELinux,ZNIU Rootkit能够轻易的被嵌入到第三发应用程序。为了便于分发,攻击者采用恶意软件运营商惯用的套路,将ZNIU恶意代码嵌入到一些色情或游戏APP中,并通过恶意的网站进行传播。

携带ZIU恶意代码的色情APP

一旦用户的手机安装了携带ZNIU恶意代码的软件,并执行了恶意代码,除了与C&C服务器进行通讯以检测是否有更新版本外,ZNIU恶意软件还会利用脏牛漏洞进行提权,生成后门便于持续化控制。同时,ZNIU恶意软件还会收集并发送被感染设备所使用的运营商的信息,当检测到用户使用中国运营商的服务时,会冒充受害者向运营商发送短信购买某类服务,而受害者支付的所有资金都落入了攻击者控制的账户(一个虚拟的公司,位于中国某城市),也就意味着这款ZNIU恶意软件只会令使用中国运营商服务的用户遭受资金损失。

感染ZNIU恶意软件的短信交易截图

一般而言,第三方应用程序需要获得用户的授权,才能访问Android设备的短信功能。因此ZNIU恶意软件需要借助于脏牛漏洞完成提权,获取root权限。一旦获取设备的root权限,还可以安装其他的后门程序或远程加载其他的恶意代码,继续进行其他的恶意活动。

有趣的是,攻击者为了增强隐蔽性,在支付服务的金额方面显得很有节制,订购的服务月套餐一般在10元左右(如上图所示)。每个用户订购1~2个,即月消费10~20元左右。

脏牛漏洞(Dirty COW)和ZNIU恶意软件

这里让我们回顾一下“脏牛漏洞(Dirty COW)”的相关知识:

CVE-ID:CVE-2016-5195

该漏洞于2016年10月20日被Linux内核团队修复,是一个严重级别的Linux内核漏洞。根据Linux内核官方评估自2007年来发行的 >=2.6.22的内核版本全部受到该漏洞的影响,也就是说这是一枚隐藏在了长达9年的0day漏洞,漏洞产生的原因是由于Linux 内核的内存子系统在处理 Copy-on-Write 时出现竞争条件(漏洞),导致私有的只读内存映射被破坏、获取读写权限后进一步提权,允许攻击者通过远程入侵获取低权限用户shell后,然后利用该漏洞在全版本Linux系统上实现本地提权,从而获取服务器root权限,影响范围较大。

由于Android操作系统是基于早期的Linux内核开发的,因此也容易受到脏牛漏洞的攻击。在脏牛漏洞被公布的几天后,研究人员发现,可以利用脏牛漏洞来感染Android设备。所有版本的Android操作系统都受到该漏洞的影响,因此谷歌在2016年11月专门发布了一个Android补丁。

 虽然知道脏牛漏洞会对Android系统造成影响,但之前一直没有发现相关的攻击或恶意利用。这种沉默保持了近一年的时间,直到最近趋势科技的研究人员发现首例利用脏牛漏洞的在野外使用的Android恶意软件,也许是因为攻击者在调试上花了一些时间,也可能是为了其他事情分心了,毕竟2017年上半年的安全事件太多了。

研究人员将捕获的样本命名为ZNIU(标识为AndroidOS_ZNIU),这是目前为止发现的首例Android平台上利用脏牛漏洞的恶意软件家族。允许攻击者利用脏牛漏洞root受害者主机并向被感染的Android设备上植入后门。研究人员第一时间通知了Google团队,以便于Google方面可以及时采取适当的措施加以阻拦。

应对措施

用户层面上,安全起见,建议尽量从Google 应用商城或可信的第三方应用商店下载合法的应用程序,还可以安装一个移动端的防病毒软件。

除此之外,疑是已被感染的用户,可以检查一下自己运营商的账单,或者从设备制造商或电话运营商处获得ZNIU漏洞的补丁。

更多资料

http://blog[.]trendmicro[.]com/trendlabs-security-intelligence/zniu-first-android-malware-exploit-dirty-cow-vulnerability/

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/106170.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code