Ker je Linux odprtokodni projekt, je težko najti varnostne napake v izvorni kodi, saj na tisoče uporabnikov aktivno preverja in popravlja iste. Zaradi tega proaktivnega pristopa, tudi če se odkrije napaka, se takoj popravi. Zato je bilo tako presenetljivo, ko je bilo lani odkrito izkoriščanje, ki je v zadnjih 9 letih izognilo strogi skrbnosti vseh uporabnikov. Da, dobro ste prebrali, čeprav je bil odkrit oktobra 2016, je obstajal znotraj kode jedra Linuxa od zadnjih 9 let. Tovrstna ranljivost, ki je vrsta napake eskalacije privilegijev, je znana kot ranljivost Dirty Cow (kataloška številka jedra Linuxovega jedra - CVE-2016-5195).
Čeprav je bila ta ranljivost zakrpana za Linux teden dni po odkritju, je vse naprave Android prepustila temu izkoriščanju (Android temelji na jedru Linuxa). Android, ki je sledil decembra 2016, pa je zaradi razdrobljene narave ekosistema Android še vedno veliko naprav Android, ki niso prejele posodobitve in so še vedno ranljive. Še bolj zastrašujoče je, da je bila odkrita nova zlonamerna programska oprema Android, imenovana ZNIU, le nekaj dni nazaj, ki izkorišča ranljivost Dirty Cow. V tem članku bomo podrobneje preučili ranljivost Dirty Cow in kako jo zlorabljajo malware ZNIU na Androidu.
Kaj je Ranljivost krhkih krav?
Kot smo že omenili, je ranljivost Dirty Cow vrsta izkoriščanja eskalacije privilegijev, ki se lahko uporabi za dodelitev privilegijev super uporabnikom za vsakogar. V bistvu lahko z uporabo te ranljivosti vsak uporabnik z zlonamernim namenom podeli privilegij naduporabnika, s čimer ima popoln korenski dostop do naprave žrtve. Pridobitev korenskega dostopa do naprave žrtev daje napadalcu popoln nadzor nad napravo in lahko izvleče vse podatke, shranjene na napravi, ne da bi uporabnik postal pametnejši.
Kaj je ZNIU in kaj umazana krava ima s tem?
ZNIU je prva zabeležena zlonamerna programska oprema za Android, ki uporablja ranljivost Dirty Cow za napad na naprave Android. Zlonamerna programska oprema uporablja ranljivost Dirty Cow za pridobitev korenskega dostopa do naprav žrtve. Trenutno je bilo ugotovljeno, da se zlonamerna programska oprema skriva v več kot 1200 aplikacijah za odrasle in pornografskih aplikacijah. V času objave tega članka je bilo ugotovljenih več kot 5000 uporabnikov v 50 državah.
Katere naprave Android so ranljive za ZNIU?
Po odkritju ranljivosti Dirty Cow (oktober 2016) je Google decembra 2016 izdal popravek za odpravo te težave. Vendar pa je bil popravek izdan za naprave Android, ki so delovale na Android KitKat (4.4) ali novejši. Glede na razpad distribucije Android OS s strani Googla, več kot 8% pametnih telefonov Android še vedno deluje na nižjih različicah Androida. Od tistih, ki delujejo na Androidu 4.4 na Android 6.0 (Marshmallow), so varne le naprave, ki so prejele in namestile varnostno obliko decembra za svoje naprave.
To je veliko naprav Android, ki imajo potencial za izkoriščanje. Vendar pa lahko ljudje tolažimo v dejstvu, da ZNIU uporablja nekoliko spremenjeno različico ranljivosti Dirty Cow in zato je bilo ugotovljeno, da je uspešna le proti tistim napravam Android, ki uporabljajo 64-bitno arhitekturo ARM / X86 . Če ste lastnik Androida, bi bilo bolje, da preverite, ali ste namestili varnostni popravek decembra ali ne.
ZNIU: Kako deluje?
Ko uporabnik naloži zlonamerno aplikacijo, ki je bila okužena z malwareom ZNIU, bo zlonamerna programska oprema ZNIU ob zagonu aplikacije samodejno vzpostavila stik in se povezala s svojimi strežniki za upravljanje in nadzor (C&C), da bi pridobila posodobitve, če so na voljo. Ko se bo posodobil, bo uporabil eskalacijo privilegijev (Dirty Cow), da bi pridobil korenski dostop do žrtvine naprave. Ko ima korenski dostop do naprave, bo zbral podatke o uporabniku iz naprave .
Trenutno zlonamerna programska oprema uporablja informacije o uporabniku, da se obrne na žrtev mrežni nosilec tako, da se predstavi kot uporabnik sam. Ko bo potrjen, bo izvajal mikro transakcije na podlagi SMS-a in pobiral plačila prek plačilne storitve prevoznika. Zlonamerna programska oprema je dovolj inteligentna, da izbriše vsa sporočila iz naprave po opravljenih transakcijah. Žrtva torej nima pojma o transakcijah. Na splošno se transakcije izvajajo za zelo majhne zneske ($ 3 / mesec). To je še en previdnostni ukrep, ki ga je napadalec sprejel, da zagotovi, da žrtev ne odkrije prenosa sredstev.
Po sledenju transakcijam je bilo ugotovljeno, da je bil denar prenesen na navidezno podjetje s sedežem na Kitajskem . Ker transakcije, ki temeljijo na prevozniku, niso pooblaščene za mednarodni prenos denarja, bodo zaradi nezakonitih transakcij trpeli samo uporabniki, ki so prizadeti na Kitajskem. Vendar pa bodo uporabniki zunaj Kitajske še vedno imeli nameščeno škodljivo programsko opremo, ki jo je mogoče kadarkoli aktivirati na daljavo, zaradi česar so potencialni cilji. Tudi če mednarodne žrtve ne trpijo zaradi nezakonitih transakcij, backdoor daje napadalcu možnost, da v napravo vnese več zlonamerne kode.
Kako se rešiti z ZNIU Malware
Napisali smo celoten članek o zaščiti vaše naprave Android pred zlonamerno programsko opremo, ki jo lahko preberete s klikom tukaj. Osnovna stvar je, da uporabljate zdravo pamet in ne nameščate aplikacij iz nezaupanih virov. Tudi v primeru ZNIU malware-a smo videli, da je zlonamerna programska oprema dostavljena žrtvenemu mobilniku, ko namestijo pornografske aplikacije ali aplikacije za odrasle, ki jih izdelajo nezaupani razvijalci. Če želite zaščititi pred to določeno zlonamerno programsko opremo, se prepričajte, da je naprava v trenutni varnostni popravki Googla. Izkoriščena je bila varnostna popravek iz decembra (2016), zato je vsakdo, ki ima nameščen popravek, varen pred zlonamerno programsko opremo ZNIU. Kljub temu, odvisno od vašega OEM, morda niste prejeli posodobitve, zato je vedno bolje, da se zavedate vseh tveganj in z vaše strani sprejmete potrebne previdnosti. Spet je v članku, ki je povezan zgoraj, omenjeno vse, kar bi morali storiti, da bi shranili napravo, da bi bili okuženi z zlonamerno programsko opremo.
Zaščitite Android pred okužbo z zlonamerno programsko opremo
V zadnjih nekaj letih je prišlo do povečanja napadov z zlonamerno programsko opremo na Android. Dirty Cow ranljivost je bila ena največjih izkoriščanj, ki so jih kdajkoli odkrili in videnje, kako ZNIU izkorišča to ranljivost, je samo grozno. ZNIU je še posebej zaskrbljujoč zaradi obsega naprav, na katere vpliva, in neomejenega nadzora, ki ga daje napadalcu. Če pa se zavedate težav in sprejmete potrebne varnostne ukrepe, bo vaša naprava varna pred temi potencialno nevarnimi napadi. Zato najprej poskrbite, da posodobite najnovejše varnostne popravke iz Googla, takoj ko jih boste dobili, nato pa se boste izognili nezaupanim in sumljivim aplikacijam, datotekam in povezavam. Kaj bi po vašem mnenju morali zaščititi svojo napravo pred zlonamernimi napadi. Sporočite nam svoje misli o tej temi tako, da jih spustite v spodnjem oddelku za komentarje.
