Eftersom Linux är ett open source-projekt, är det svårt att hitta säkerhetsbrister i källkoden, eftersom tusentals användare fortsätter att kontrollera och fixa detsamma. På grund av detta proaktiva tillvägagångssätt, även om en fel upptäcks, är den patchad omedelbart. Därför var det så förvånande när ett utnyttjande upptäcktes i fjol som har undanröja den strikta due diligence för alla användare under de senaste 9 åren. Ja, du läste det rätt, även om exploateringen upptäcktes i oktober 2016, hade det funnits inne i Linux-kärnkoden sedan de senaste 9 åren. Denna typ av sårbarhet, som är en typ av privilegium eskaleringsfel är känd som Säkerhetsproblemet (Linux-kärnbullkatalogen - CVE-2016-5195).
Även om denna sårbarhet patchades för Linux en vecka efter upptäckten, lämnade den alla Android-enheter sårbara för detta utnyttjande (Android är baserat på Linux-kärnan). Android patched följde i december 2016, men på grund av den splittrade naturen i Android ekosystem finns det fortfarande många Android-enheter som inte har fått uppdateringen och är fortfarande sårbara för den. Vad som är mer skrämmande är att en ny Android-malware som heter ZNIU upptäcktes bara ett par dagar tillbaka, vilket utnyttjar smutsutsatt sårbarhet. I den här artikeln kommer vi att göra en djupgående titt på smutsiga sårbarheten och hur den missbrukas på Android av ZNIU-skadlig kod.
Vad är sämre ko sårbarhet?
Såsom nämnts ovan är sårbarheten för smutsiga koder en typ av privilegierande eskaleringsutnyttjande som kan användas för att ge superanvändarrätt åt någon. I grund och botten kan varje användare med skadlig avsikt genom att använda denna sårbarhet ge sig en superanvändarrättighet och därigenom ha fullständig root-åtkomst till ett offerans enhet. Att få root åtkomst till ett offerets enhet ger attackeren fullständig kontroll över enheten och han kan extrahera all data som lagras på enheten, utan att användaren blir klokare.
Vad är ZNIU och vad Dirty Cow har att göra med det?
ZNIU är den första inspelade skadliga programvaran för Android som använder smutsiga sårbarheten för att attackera Android-enheter. Malware använder smutsiga sårbarheten för att få root access till offrets enheter. För närvarande har malware upptäckts att gömma sig i mer än 1200 vuxna spel och pornografiska appar. Vid publicering av denna artikel har mer än 5000 användare i 50 länder visat sig drabbas av det.
Vilka Android-enheter är utsatta för ZNIU?
Efter upptäckten av smutsiga sårbarheten (oktober 2016) släppte Google en plåster i december 2016 för att åtgärda problemet. Plåstret släpptes dock för Android-enheter som kördes på Android KitKat (4.4) eller högre. Enligt uppdelningen av Android OS-distribution av Google körs fortfarande över 8% av Android-smartphonesna på lägre versioner av Android. Av de som körs på Android 4.4 till Android 6.0 (Marshmallow) är endast de här enheterna säkra som har tagit emot och installerat säkerhetsplåstret i december för sina enheter.
Det är många Android-enheter som har potential att exploateras. Människor kan emellertid ta tröst i det faktum att ZNIU använder en något modifierad version av Dirty Cow sårbarhet och det har därför visat sig vara framgångsrik endast mot de Android-enheter som använder ARM / X86 64-bitars arkitektur . Om du är Android-ägare är det dock bättre att kontrollera om du har installerat säkerhetsplåstret i december eller inte.
ZNIU: Hur fungerar det?
När användaren har laddat ner en skadlig app som har smittats med ZNIU-skadlig programvara, kommer ZNIU-skadliga program automatiskt att kontakta och ansluta till sina kommando- och kontrollservrar (C & C) för att få uppdateringar om de finns tillgängliga. När den har uppdaterat sig, kommer den att använda privilegiet eskalering (Dirty Cow) utnyttja för att få root åtkomst till offrets enhet. När den har root-åtkomst till enheten kommer den att skörda användarens information från enheten .
För närvarande använder malwareprogrammet användarinformationen för att kontakta offerets nätoperatör genom att posera som användaren själv. När den är autentiserad kommer den att utföra SMS-baserade mikrotransaktioner och samla in betalning via transportörens betaltjänst. Malware är intelligent nog att ta bort alla meddelanden från enheten efter att transaktionerna har ägt rum. Sålunda har offeret ingen aning om transaktionerna. Transaktionerna utförs i allmänhet för mycket små belopp ($ 3 / månad). Detta är en annan försiktighetsåtgärd som attackerat för att se till att offret inte upptäcker fondöverföringarna.
Efter att ha följt transaktionerna konstaterades att pengarna överfördes till ett dummyföretag baserat i Kina . Eftersom operatörsbaserade transaktioner inte är behöriga att överföra pengar internationellt kommer endast de användare som påverkas i Kina att drabbas av dessa olagliga transaktioner. Användarna utanför Kina kommer dock fortfarande att ha skadlig programvara installerad på sin enhet som kan aktiveras när som helst på distans, vilket gör dem potentiella mål. Även om de internationella offren inte lider av olagliga transaktioner, ger bakdörren attacken till en chans att injicera mer skadlig kod i enheten.
Hur man sparar dig från ZNIU Malware
Vi har skrivit en hel artikel om hur du skyddar din Android-enhet från skadlig kod, som du kan läsa genom att klicka här. Det grundläggande är att använda sunt förnuft och inte installera programmen från otillförlitliga källor. Även när det gäller ZNIU-skadlig program, har vi sett att skadlig programvara levereras till offerets mobil när de installerar pornografiska eller vuxna spel-appar som tillverkas av otillförlitliga utvecklare. För att skydda mot den här specifika skadliga programvaran, kontrollera att enheten är på den aktuella säkerhetsuppdateringen från Google. Utnyttjandet patchades med säkerhetsplåstret i december (2016) från Google, varför alla som har den patchen installerade är säkra från ZNIU-malware. Beroende på din OEM kanske du inte har fått uppdateringen, det är därför alltid bättre att vara medveten om alla risker och vidta nödvändiga försiktighetsåtgärder från din sida. Återigen, allt som du borde och borde inte göra för att rädda din enhet från att bli smittad av en skadlig kod, nämns i artikeln som är länkad ovan.
Skydda din Android från att bli smittade av skadlig kod
De senaste åren har stigit malwareattacker på Android. Smutsig ko sårbarhet var ett av de största utnyttjanden som någonsin har upptäckts och ser hur ZNIU utnyttjar denna sårbarhet är bara hemsk. ZNIU är särskilt oroligt på grund av omfattningen av enheter som den påverkar, och den otrygga kontroll som den ger till attackeren. Men om du är medveten om problemen och vidtar nödvändiga försiktighetsåtgärder, kommer din enhet att vara säker från dessa potentiellt farliga attacker. Så först försäkra dig om att du uppdaterar de senaste säkerhetsuppdateringarna från Google så snart du får dem och håll dig borta från otillförlitliga och misstänkta appar, filer och länkar. Vad tycker du att man borde skydda sin enhet mot skadliga programattacker. Låt oss veta dina tankar om ämnet genom att släppa ner dem i kommentarfältet nedan.
