國(guó)內(nèi)安卓用戶小心!惡意軟件ZNIU用“臟牛漏洞”Root安卓設(shè)備

責(zé)任編輯:editor006

2017-09-27 20:44:39

摘自:E安全

在Linux內(nèi)核中存在九年之久的提權(quán)漏洞“臟?!保―irty COW)去年10月浮出水面,攻擊者可提升至root權(quán)限執(zhí)行惡意操作。

 在Linux內(nèi)核中存在九年之久的提權(quán)漏洞“臟牛”(Dirty COW)去年10月浮出水面,攻擊者可提升至root權(quán)限執(zhí)行惡意操作。

被發(fā)現(xiàn)之時(shí),“臟牛”是一個(gè)零日漏洞CVE-2016-5195。研究人員當(dāng)時(shí)表示,攻擊者利用該漏洞攻擊Linux服務(wù)器,Linux隨即發(fā)布補(bǔ)丁修復(fù)漏洞。最近,研究人員發(fā)現(xiàn)首款利用“臟牛”漏洞的安卓惡意軟件,其名為“ZNIU”。

ZNIU用“臟牛”Root安卓設(shè)備,植入后門(mén)

發(fā)現(xiàn)提權(quán)漏洞“臟牛”幾天之后,研究人員發(fā)現(xiàn)“臟牛”還能用來(lái)獲取安卓設(shè)備的Root權(quán)限,這是因?yàn)榘沧坎僮飨到y(tǒng)基于早期的Linux內(nèi)核。

首款利用“臟牛”漏洞的安卓惡意軟件“ZNIU”浮出水面:中國(guó)受害嚴(yán)重-E安全

  安卓操作系統(tǒng)所有版本均受到影響,谷歌于2016年11月發(fā)布安卓補(bǔ)丁。

更多有關(guān)“臟牛”的詳情見(jiàn)以下【視頻】:

9月25日,趨勢(shì)科技的安全研究人員發(fā)布報(bào)告詳細(xì)介紹了新惡意軟件ZNIU,其使用“臟牛”獲取設(shè)備的Root權(quán)限,并植入后門(mén)。

大多數(shù)受害者位于中國(guó)和印度

研究人員表示,攻擊者利用這個(gè)惡意軟件收集被感染設(shè)備上的信息。奇怪的是,只有當(dāng)用戶位于中國(guó)時(shí),攻擊才會(huì)進(jìn)入第二階段感染。攻擊者使用后門(mén)賦予的完全控制權(quán)限為用戶訂閱付費(fèi)短信服務(wù)。

首款利用“臟牛”漏洞的安卓惡意軟件“ZNIU”浮出水面:中國(guó)受害嚴(yán)重-E安全

ZNIU感染鏈

趨勢(shì)科技在多個(gè)在線網(wǎng)站發(fā)現(xiàn)超過(guò)1200個(gè)攜帶ZNIU的惡意應(yīng)用程序,大多數(shù)被感染的應(yīng)用程序?yàn)橛螒蚝蜕閼?yīng)用,目前檢測(cè)到約5000名用戶遭遇ZNIU惡意軟件感染,但這個(gè)數(shù)據(jù)可能有些保守,因?yàn)槠渲徊榭戳俗陨硪苿?dòng)安全解決方案保護(hù)的設(shè)備。

首款利用“臟?!甭┒吹陌沧繍阂廛浖癦NIU”浮出水面:中國(guó)受害嚴(yán)重-E安全

  ZNIU的受害者遍布40個(gè)國(guó)家,大多數(shù)受害者位于中國(guó)和印度。

ZNIU的“臟牛”實(shí)現(xiàn)方式遜色

從技術(shù)層面來(lái)看,ZNIU使用 “臟牛”漏洞利用與研究人員去年發(fā)布的PoC代碼不同。

這個(gè)“臟牛”漏洞利用代碼只適用于ARM/X86 64位系統(tǒng)的安卓設(shè)備。當(dāng)感染ARM32位CPU的安卓手機(jī)時(shí),ZNIU借助KingoRoot應(yīng)用和Iovyroot漏洞利用(CVE-2015-1805)獲取Root訪問(wèn)權(quán)限。

被ZNIU感染的應(yīng)用程序從未成功登陸Google Play商店。用戶應(yīng)當(dāng)避免在Google Play商店以外的地方安裝應(yīng)用程序。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)