Anbefalet, 2021

Redaktørens Valg

Sikkerhedsfejl i sød kød: Hvordan ZNIU bruger det til at angribe Android

Da Linux er et open source-projekt, er det svært at finde sikkerhedsfejl i sin kildekode, da tusindvis af brugere aktivt holder kontrol og fastsættelse af det samme. På grund af denne proaktive tilgang er det selvklart, selv når der opdages en fejl. Derfor var det så overraskende, da en udnyttelse blev opdaget i sidste år, som er undladt af alle brugeres strenge due diligence i løbet af de sidste 9 år. Ja, du læste det rigtigt, selvom udnyttelsen blev opdaget i oktober 2016, havde den eksisteret inde i Linux-kernekoden siden sidste 9 år. Denne type sårbarhed, som er en form for privilegium eskaleringsfejl, er kendt som den uskadelige sårbarhed (Linux kernel bug catalog number - CVE-2016-5195).

Selvom denne sårbarhed blev patcheret til Linux en uge efter dens opdagelse, forlod den alle Android-enheder, der er sårbare over for denne udnyttelse (Android er baseret på Linux-kernen). Android patched fulgte i december 2016, men på grund af den fragmenterede karakter af Android økosystem er der stadig mange Android-enheder, som ikke har modtaget opdateringen og forbliver sårbare over for den. Hvad der er mere skræmmende er, at en ny Android-malware, der blev kaldt ZNIU, blev opdaget bare et par dage tilbage, som udnytter smittekødets sårbarhed. I denne artikel vil vi tage et dybtgående kig på Sygdommen for beskidt ko og hvordan den bliver misbrugt på Android af ZNIU malware.

Hvad er sårbar ko sårbarhed?

Som nævnt ovenfor er Dirty Cow sårbarhed en type privilegium eskalering udnyttelse, som kan bruges til at give superbruger privilegium til nogen. I grund og grund kan enhver bruger med ondsindet hensigt ved at bruge denne sårbarhed give sig selv et superbrugerprivilegium og derved have fuldstændig rodadgang til et offerets enhed. At få rodadgangen til et offerets enhed giver angriberen fuld kontrol over enheden, og han kan hente alle de data, der er gemt på enheden, uden at brugeren bliver mere klog.

Hvad er ZNIU og hvad Dirty Cow har at gøre med det?

ZNIU er den første registrerede malware til Android, som udnytter den uskadelige sårbarhed for at angribe Android-enheder. Malware bruger Dirty Cow sårbarheden for at få rodadgang til offerets enheder. I øjeblikket er malware blevet registreret til at gemme sig i mere end 1200 voksne spil og pornografiske apps. På tidspunktet for udgivelsen af ​​denne artikel har mere end 5000 brugere på tværs af 50 lande vist sig at være berørt af det.

Hvilke Android-enheder er udsat for ZNIU?

Efter opdagelsen af ​​den uskadelige sårbarhed (oktober 2016) udgav Google en patch i december 2016 for at løse dette problem. Patchen blev imidlertid frigivet til Android-enheder, der kørte på Android KitKat (4.4) eller nyere. Ifølge opbruddet af Android OS distributionen fra Google kører mere end 8% af Android-smartphonesne stadig på lavere versioner af Android. Af dem, der kører på Android 4.4 til Android 6.0 (Marshmallow), er kun disse enheder sikre, som har modtaget og installeret december-sikkerhedsrettelsen for deres enheder.

Det er mange Android-enheder, der har potentiale til at blive udnyttet. Men folk kan tage trøst med, at ZNIU bruger en noget modificeret version af Dirty Cow-sårbarheden, og det har således vist sig at være vellykket kun mod de Android-enheder, der bruger ARM / X86 64-bit arkitekturen . Stadig, hvis du er en Android-ejer, ville det være bedre at kontrollere, om du har installeret December-sikkerhedsrettelsen eller ej.

ZNIU: Hvordan virker det?

Når brugeren har downloadet en skadelig app, der er blevet inficeret med ZNIU malware, vil ZNIU malware automatisk kontakte og forbinde til sine kommando- og kontrol (C & C) servere for at få opdateringer, hvis de er tilgængelige. Når den har opdateret sig, vil den bruge privilegium eskalering (Dirty Cow) udnytte for at få rodadgangen til offerets enhed. Når den har rodadgang til enheden, vil den høste brugerens oplysninger fra enheden .

I øjeblikket bruger malware brugeroplysningerne til at kontakte offerets netværksoperatør ved at udgive sig som brugeren selv. Når den er godkendt, udfører den sms-baserede mikrotransaktioner og indsamler betaling via transportørens betalingstjeneste. Malware er intelligent nok til at slette alle meddelelser fra enheden efter transaktionerne har fundet sted. Således har offeret ingen ide om transaktionerne. Generelt udføres transaktionerne for meget små beløb ($ 3 / måned). Dette er en anden forholdsregel taget af angriberen for at sikre, at offeret ikke opdager fondoverførsler.

Efter at have sporet transaktionerne blev det konstateret, at pengene blev overført til et dummy firma baseret i Kina . Da carrier-baserede transaktioner ikke er tilladt at overføre penge internationalt, vil kun de brugere, der er berørt i Kina, lide af disse ulovlige transaktioner. Brugerne uden for Kina vil dog stadig have malware installeret på deres enhed, som kan aktiveres når som helst eksternt, hvilket gør dem mulige mål. Selvom de internationale ofre ikke lider af ulovlige transaktioner, giver bagdøren angriberen en chance for at indsprøjte mere ondsindet kode i enheden.

Sådan redder du dig selv fra ZNIU Malware

Vi har skrevet en hel artikel om beskyttelse af din Android-enhed mod malware, som du kan læse ved at klikke her. Den grundlæggende ting er at bruge sund fornuft og ikke installere apps fra usikre kilder. Selv i tilfælde af malware fra ZNIU har vi set, at malware er leveret til offerets mobil, når de installerer pornografiske eller voksne spil apps, der er lavet af usikre udviklere. For at beskytte mod denne specifikke malware skal du sørge for, at din enhed er på den aktuelle sikkerhedsrettelse fra Google. Udnyttelsen blev patchet med sikkerhedsopdateringen fra december (2016) fra Google, derfor er enhver, der har installeret den patch, sikker fra ZNIU malware. Afhængigt af din OEM har du muligvis ikke modtaget opdateringen, og derfor er det altid bedre at være opmærksom på alle risici og tage den nødvendige forsigtighed fra din side. Igen er alt, hvad du bør og ikke bør gøre for at redde din enhed mod at blive smittet af en malware, nævnt i artiklen, der er linket ovenfor.

Beskyt din Android mod at blive smittet af skadelig software

De sidste par år har oplevet en stigning i malwareangreb på Android. Dirty Cow sårbarhed var en af ​​de største udnyttelser, der nogensinde er blevet opdaget og se, hvordan ZNIU udnytter denne sårbarhed, er bare rædselsvækkende. ZNIU er særligt bekymrende på grund af omfanget af enheder det påvirker, og den ukontrollerede kontrol, som den yder til angriberen. Men hvis du er opmærksom på problemerne og træffer de nødvendige forholdsregler, vil din enhed være sikker fra disse potentielt farlige angreb. Så sørg først for at opdatere de nyeste sikkerhedsrettelser fra Google, så snart du får dem, og hold dig væk fra usikre og mistænkelige apps, filer og links. Hvad mener du, at man skal gøre at beskytte deres enhed mod malwareangreb. Lad os vide dine tanker om emnet ved at slippe dem ned i kommentarfeltet nedenfor.

Top