Preporučeno, 2021

Izbor Urednika

Ugroženost prljavih krava: kako ga ZNIU koristi za napad na Android

Budući da je Linux projekt otvorenog koda, teško je pronaći sigurnosne propuste u izvornom kodu jer tisuće korisnika aktivno provjerava i popravlja iste. Zbog tog proaktivnog pristupa, čak i kada se otkrije nedostatak, odmah se zakrpa. Zato je bilo iznenađujuće kada je prošle godine otkriven pothvat koji je izbjegao rigoroznu dubinsku analizu svih korisnika u proteklih 9 godina. Da, dobro ste pročitali, iako je otkriven u listopadu 2016., postojao je unutar koda kernela od posljednjih 9 godina. Ova vrsta ranjivosti, koja je vrsta greške eskalacije privilegija, poznata je kao ranjivost Dirty Cow (kataloški broj kernel Linux kernela - CVE-2016-5195).

Iako je ova ranjivost zakrpana za Linux tjedan dana nakon otkrića, sve Android uređaje ostavili su ranjivim na ovaj izum (Android se temelji na Linux kernelu). Android je zakrpe slijedio u prosincu 2016, međutim, zbog fragmentirane prirode Android ekosustava, još uvijek ima mnogo Android uređaja koji nisu dobili ažuriranje i ostaju ranjivi na njega. Što je još zastrašujuće je da je novi Android malware nazvan ZNIU otkriven samo nekoliko dana prije, koji iskorištava ranjivost Dirty Cow. U ovom ćemo članku detaljno razmotriti ranjivost Dirty Cow i kako se zloupotrebljava na Androidu od strane ZNIU malwarea.

Što je ranjivost Dirty Cow?

Kao što je već spomenuto, ranjivost Dirty Cow je vrsta eksploatacije eskalacije privilegija koja se može koristiti za dodjeljivanje privilegija super-korisnika bilo kome. U osnovi, korištenjem ove ranjivosti, svaki korisnik sa zlonamjernom namjerom može sebi dodijeliti privilegiju super-korisnika, čime ima potpuni korijenski pristup uređaju žrtve. Dobivanje korijenskog pristupa uređaju žrtve daje napadaču potpunu kontrolu nad uređajem i on može izdvojiti sve podatke pohranjene na uređaju, bez da korisnik postane mudriji.

Što je ZNIU i što Prljava krava mora učiniti s tim?

ZNIU je prvi zabilježeni malware za Android koji koristi ranjivost Dirty Cow za napad na Android uređaje. Zlonamjerni softver koristi ranjivost Dirty Cow kako bi dobio root pristup uređajima žrtve. Trenutno se otkriva da se malware skriva u više od 1200 igara za odrasle i pornografskih aplikacija. U vrijeme objavljivanja ovog članka utvrđeno je da na njega utječe više od 5000 korisnika u 50 zemalja.

Koji Android uređaji su ranjivi na ZNIU?

Nakon otkrića ranjivosti Dirty Cow (listopad 2016.), Google je u prosincu 2016. objavio zakrpu kako bi riješio taj problem. Međutim, zakrpa je objavljena za Android uređaje koji su se pokretali na Android KitKat (4.4) ili više. Prema raspadu distribucije Android OS-a od strane Googlea, više od 8% Android pametnih telefona i dalje radi na nižim verzijama Androida. Od onih koji rade na Androidu 4.4 na Android 6.0 (Marshmallow), samo su oni sigurni koji su primili i instalirali sigurnosnu zakrpu prosinca za svoje uređaje.

To je mnogo Android uređaja koji imaju potencijal eksploatacije. Međutim, ljudi mogu utješiti činjenicu da ZNIU koristi pomalo modificiranu verziju ranjivosti Dirty Cow i stoga je utvrđeno da je uspješna samo protiv onih Android uređaja koji koriste ARM / X86 64-bitnu arhitekturu . Ipak, ako ste vlasnik Androida, bilo bi bolje provjeriti jeste li instalirali sigurnosnu zakrpu prosinca ili ne.

ZNIU: Kako djeluje?

Nakon što korisnik preuzme zlonamjernu aplikaciju koja je zaražena ZNIU malware-om, ZNIU malware će automatski kontaktirati i povezati se sa svojim C&C poslužiteljima kako bi dobio ažuriranja ako su dostupna. Nakon što se sam ažurira, koristit će eskalaciju privilegija (Dirty Cow) kako bi dobio root pristup žrtvinom uređaju. Nakon što ima root pristup uređaju, prikupit će korisnikove podatke s uređaja .

Trenutno, zlonamjerni softver koristi korisničke informacije kako bi kontaktirao žrtvinu mrežnu mrežu tako što se predstavlja kao korisnik. Nakon provjere autentičnosti izvršit će mikro-transakcije temeljene na SMS-u i naplatiti plaćanje putem platne usluge prijevoznika. Zlonamjerni softver je dovoljno inteligentan da izbriše sve poruke s uređaja nakon što su transakcije izvršene. Dakle, žrtva nema pojma o transakcijama. Općenito, transakcije se obavljaju za vrlo male iznose ($ 3 / mjesečno). Ovo je još jedna mjera opreza koju napadač poduzima kako bi se osiguralo da žrtva ne otkrije prijenos sredstava.

Nakon praćenja transakcija, utvrđeno je da je novac prebačen na lažnu tvrtku sa sjedištem u Kini . Budući da transakcije utemeljene na prijevozniku nisu ovlaštene za prijenos novca na međunarodnoj razini, samo će korisnici koji su pogođeni Kinom patiti od tih ilegalnih transakcija. Međutim, korisnici izvan Kine će i dalje imati instaliran zlonamjerni softver na svom uređaju koji se može aktivirati bilo kada na daljinu, što ih čini potencijalnim ciljevima. Čak i ako međunarodne žrtve ne pate od nezakonitih transakcija, backdoor daje napadaču priliku da ubaci još zlonamjernog koda u uređaj.

Kako se spasiti od ZNIU Malware

Napisali smo cijeli članak o zaštiti vašeg Android uređaja od zlonamjernog softvera, koji možete pročitati klikom ovdje. Osnovna stvar je koristiti zdrav razum i ne instalirati aplikacije iz nepouzdanih izvora. Čak iu slučaju ZNIU malware-a, vidjeli smo da se zlonamjerni softver isporučuje žrtvinom mobitelu kada instaliraju pornografske aplikacije ili aplikacije za odrasle. Da biste se zaštitili od određenog zlonamjernog softvera, provjerite je li uređaj na trenutnoj sigurnosnoj zakrpi od Googlea. Eksploat je skrpan Googleovom sigurnosnom zakrtom iz prosinca (2016), tako da je svatko tko ima instaliranu zakrpu siguran od ZNIU malwarea. Ipak, ovisno o vašem OEM-u, možda niste dobili ažuriranje, stoga je uvijek bolje biti svjestan svih rizika i poduzeti potrebne mjere opreza s vaše strane. Opet, sve što biste trebali i ne biste trebali učiniti da biste sačuvali uređaj od zaraze zlonamjernim softverom spominje se u članku koji je povezan gore.

Zaštitite svoj Android od zaraženih zlonamjernim softverom

Posljednjih nekoliko godina zabilježen je porast napada na Android. Dirty Cow ranjivost bila je jedna od najvećih eksplozija koja je ikada otkrivena i gledajući kako ZNIU iskorištava ovu ranjivost je užasna. ZNIU je posebno zabrinjavajuća zbog opsega uređaja na koje utječe i nesputane kontrole koju daje napadaču. Međutim, ako ste svjesni problema i poduzmite potrebne mjere opreza, uređaj će biti siguran od potencijalno opasnih napada. Stoga, prvo provjerite ažurirate li najnovije sigurnosne zakrpe od Googlea čim ih dobijete, a zatim se držite podalje od nepovjerljivih i sumnjivih aplikacija, datoteka i veza. Što mislite da treba zaštititi svoj uređaj od napada zlonamjernih programa. Javite nam svoje mišljenje o toj temi tako što ćete ih ostaviti dolje u odjeljku komentara.

Top