Тъй като Linux е проект с отворен код, трудно е да се открият пропуски в изходния код, тъй като хиляди потребители активно проверяват и поправят същото. Благодарение на този проактивен подход, дори когато се открие някакъв недостатък, той се закърпва незабавно. Ето защо беше толкова изненадващо, когато през миналата година бе открит експлойт, който успя да избяга от строгата проверка на всички потребители през последните 9 години. Да, прочетете го правилно, въпреки че експлоатацията е била открита през октомври 2016 г., тя е съществувала в кода на ядрото на Linux от последните 9 години. Този тип уязвимост, която е тип грешка на ескалацията на привилегии, е известна като уязвимостта на Dirty Cow (номер на каталога на бъгове на ядрото на Linux - CVE-2016-5195).
Въпреки, че тази уязвимост беше подправена за Linux седмица след откриването й, тя остави всички Android устройства уязвими за този експлойт (Android е базиран на ядрото на Linux). Андроидът беше проследен през декември 2016 г., но поради фрагментирания характер на екосистемата на Android все още има много Android устройства, които не са получили актуализацията и остават уязвими към нея. Още по-страшно е, че нов андроид Android, наречен ZNIU, бе открит само няколко дни назад, който използва уязвимостта на Dirty Cow. В тази статия ще разгледаме задълбочено уязвимостта на Dirty Cow и как тя се злоупотребява с Android от ZNIU malware.
Какво представлява уязвимостта на мръсната крава?
Както беше споменато по-горе, уязвимостта на Dirty Cow е вид експлоатация на ескалацията на привилегии, която може да се използва за предоставяне на привилегии за суперпотребител на всеки. По принцип, като се използва тази уязвимост, всеки потребител със злонамерено намерение може да си предостави привилегия за суперпотребител, като по този начин има пълен корен достъп до устройството на жертвата. Получаването на коренния достъп до устройството на жертвата дава на нападателя пълен контрол над устройството и той може да извлече всички данни, съхранявани на устройството, без потребителят да стане по-мъдър.
Какво е ZNIU и какво мръсна крава трябва да прави с нея?
ZNIU е първият регистриран злонамерен софтуер за Android, който използва уязвимостта на Dirty Cow за атака на Android устройства. Зловредният софтуер използва уязвимостта на Dirty Cow, за да придобие root достъп до устройствата на жертвата. Понастоящем е открито, че зловредният софтуер се крие в повече от 1200 игри за възрастни и порнографски приложения. По време на публикуването на тази статия е установено, че над 5000 потребители в 50 страни са засегнати от нея.
Кои Android устройства са уязвими за ZNIU?
След откриването на уязвимостта на Dirty Cow (октомври 2016), през декември 2016 г. Google пусна кръпка, за да реши проблема. Патчът обаче беше пуснат за устройства с Android, които работеха на Android KitKat (4.4) или по-висока. Според разпадането на дистрибуцията на Android OS от Google, повече от 8% от Android смартфоните все още работят на по-ниски версии на Android. От тези, които работят с Android 4.4 до Android 6.0 (Marshmallow), само тези устройства са безопасни, които са получили и инсталирали защитната пластира за своите устройства от декември.
Това са много Android устройства, които имат потенциала да бъдат експлоатирани. Хората обаче могат да утешат факта, че ZNIU използва донякъде модифицирана версия на уязвимостта на Dirty Cow и затова е установено, че е успешна само срещу тези Android устройства, които използват ARM / X86 64-битова архитектура . Все пак, ако сте собственик на Android, по-добре е да проверите дали сте инсталирали кръпката за сигурност от декември или не.
ЗНИУ: Как работи?
След като потребителят е изтеглил злонамерено приложение, което е било заразено със злонамерен софтуер ZNIU, когато те стартират приложението, зловредният софтуер ZNIU автоматично ще се свърже с него и ще се свърже със своите сървъри за управление и контрол (C&C), за да получи актуализации, ако има такива. След като се обнови, ще използва експлоатацията на привилегиите (Dirty Cow), за да получи коренния достъп до устройството на жертвата. След като има корен достъп до устройството, той ще събере информацията за потребителя от устройството .
Понастоящем зловредният софтуер използва информацията на потребителя, за да се свърже с мрежовия оператор на жертвата, като се представя като потребител. След като бъде удостоверен, той ще извършва микро-транзакции, базирани на SMS, и ще събира плащания чрез платежната услуга на превозвача. Зловредният софтуер е достатъчно интелигентен, за да изтрие всички съобщения от устройството след извършване на транзакциите. По този начин жертвата няма представа за транзакциите. Като цяло, транзакциите се извършват за много малки суми ($ 3 / месец). Това е друга предпазна мярка, предприета от нападателя, за да гарантира, че жертвата не открива трансферите на средства.
След проследяване на транзакциите беше установено, че парите са прехвърлени на фиктивна компания, базирана в Китай . Тъй като транзакциите, базирани на превозвач, нямат право да прехвърлят пари в международен план, само тези, които са засегнати в Китай, ще страдат от тези незаконни сделки. Въпреки това, потребителите извън Китай все още ще имат инсталиран на устройството си зловреден софтуер, който може да бъде активиран по всяко време от разстояние, което ги прави потенциални цели. Дори ако международните жертви не страдат от незаконни транзакции, задната вратичка дава на нападателя възможност да инжектира повече злонамерен код в устройството.
Как да се спасим от ZNIU Malware
Написахме цяла статия за защитата на вашето устройство Android от зловреден софтуер, който можете да прочетете, като кликнете тук. Основното нещо е да се използва здрав разум и да не се инсталират приложения от ненадеждни източници. Дори и в случая със злонамерен софтуер ZNIU, видяхме, че зловредният софтуер се доставя на мобилния телефон на жертвата, когато инсталират приложения за порнографски или игри за възрастни, които са направени от ненадеждни разработчици. За да се предпазите от този специфичен зловреден софтуер, уверете се, че устройството ви е в текущата корекция за сигурност от Google. Експлойтът беше закърпен с кръпката за сигурност от декември (2016) от Google, така че всеки, който има инсталирания патч, е безопасен от злонамерения софтуер ZNIU. Все пак, в зависимост от вашия OEM, може да не сте получили актуализацията, затова винаги е по-добре да сте наясно с всички рискове и да вземете необходимите предпазни мерки от ваша страна. Отново, всичко, което трябва и не трябва да направите, за да запазите устройството си от заразяване със злонамерен софтуер, се споменава в статията, която е свързана по-горе.
Защитете Android от заразяване с Malware
През последните няколко години се наблюдава нарастване на атаките със зловреден софтуер на Android. Уязвимостта на Dirty Cow е един от най-големите подвизи, които някога са били открити и виждайки как ZNIU използва тази уязвимост, е просто ужасяващо. ZNIU е особено притеснителен поради степента на въздействие на устройствата и на безпрепятствения контрол, който предоставя на нападателя. Ако обаче сте наясно с проблемите и предприемете необходимите предпазни мерки, вашето устройство ще бъде защитено от тези потенциално опасни атаки. Така че първо се уверете, че актуализирате най-новите кръпки за сигурност от Google, веднага щом ги получите, и след това се пазете от ненадеждни и подозрителни приложения, файлове и връзки. Какво смятате, че трябва да направите, за да защитите устройството си срещу атаки със зловреден софтуер. Споделете вашите мисли по темата, като ги пуснете в полето за коментари по-долу.