Aanbevolen, 2024

Editor'S Choice

Dirty Cow-beveiligingslek: hoe ZNIU het gebruikt om Android aan te vallen

Omdat Linux een open source-project is, is het moeilijk om beveiligingsfouten te vinden in de broncode, terwijl duizenden gebruikers actief blijven controleren en hetzelfde herstellen. Door deze proactieve aanpak, zelfs wanneer een fout wordt ontdekt, wordt deze onmiddellijk gepatcht. Daarom was het zo verrassend toen vorig jaar een exploit werd ontdekt die in de afgelopen 9 jaar aan de strenge due diligence van alle gebruikers ontsnapt is. Ja, je leest het goed, hoewel de exploit werd ontdekt in oktober 2016, het had al sinds 9 jaar in de Linux kernelcode bestaan. Dit type kwetsbaarheid, een soort escalatiebom voor bevoegdheden, staat bekend als de kwetsbaarheid van Dirty Cow (nummer van de Linux kernel bugcatalogus - CVE-2016-5195).

Hoewel dit beveiligingslek een week na de ontdekking in Linux was hersteld, liet het alle Android-apparaten kwetsbaar voor deze exploit (Android is gebaseerd op de Linux-kernel). De Android-patch volgde in december 2016, maar vanwege het gefragmenteerde karakter van het Android-ecosysteem, zijn er nog steeds veel Android-apparaten die de update niet hebben ontvangen en er nog steeds kwetsbaar voor zijn. Wat nog beangstigender is, is dat een paar dagen geleden een nieuwe Android-malware met de naam ZNIU werd ontdekt, die misbruik maakt van de kwetsbaarheid van Dirty Cow. In dit artikel zullen we een diepgaande blik werpen op de kwetsbaarheid van Dirty Cow en hoe het wordt misbruikt op Android door ZNIU-malware.

Wat is het beveiligingsprobleem van Dirty Cow?

Zoals hierboven vermeld, is de kwetsbaarheid van Dirty Cow een soort van privilege-escalatie-exploit die kan worden gebruikt om supergebruikersrecht aan iedereen te verlenen . Kortom, door dit beveiligingslek te gebruiken, kan elke gebruiker met kwaadaardige bedoelingen zichzelf een supergebruiker-privilege verlenen, waardoor hij volledige roottoegang tot het apparaat van een slachtoffer heeft. De root toegang krijgen tot het apparaat van een slachtoffer geeft de aanvaller volledige controle over het apparaat en hij kan alle gegevens die op het apparaat zijn opgeslagen extraheren, zonder dat de gebruiker wijzer wordt.

Wat is ZNIU en wat heeft Dirty Cow ermee te maken?

ZNIU is de eerste geregistreerde malware voor Android die de kwetsbaarheid van Dirty Cow gebruikt om Android-apparaten aan te vallen. De malware gebruikt de kwetsbaarheid van Dirty Cow om root-toegang te krijgen tot de apparaten van het slachtoffer. Momenteel is vastgesteld dat de malware zich schuilhoudt in meer dan 1200 games en pornografische apps voor volwassenen. Op het moment van publicatie van dit artikel zijn meer dan 5000 gebruikers in 50 landen hierdoor getroffen.

Welke Android-apparaten zijn kwetsbaar voor ZNIU?

Na de ontdekking van de kwetsbaarheid van Dirty Cow (oktober 2016) heeft Google in december 2016 een patch uitgebracht om dit probleem op te lossen. De patch is echter vrijgegeven voor Android-apparaten die op Android KitKat (4.4) of hoger draaiden . Volgens het uiteenvallen van Android OS-distributie door Google, draait meer dan 8% van de Android-smartphones nog steeds op lagere versies van de Android. Van degenen die op Android 4.4 tot Android 6.0 (Marshmallow) werken, zijn alleen die apparaten veilig die de beveiligingspatch van december voor hun apparaten hebben ontvangen en geïnstalleerd.

Dat zijn veel Android-apparaten die kunnen worden uitgebuit. Mensen kunnen echter troost putten uit het feit dat ZNIU een enigszins aangepaste versie van de kwetsbaarheid van Dirty Cow gebruikt en daarom is gebleken dat het alleen succesvol is tegen die Android-apparaten die de ARM / X86 64-bit-architectuur gebruiken . Toch, als je een Android-eigenaar bent, is het beter om te controleren of je de beveiligingspatch van december al dan niet hebt geïnstalleerd.

ZNIU: Hoe werkt het?

Nadat de gebruiker een kwaadaardige app heeft gedownload die is geïnfecteerd met ZNIU-malware, neemt de ZNIU-malware automatisch contact op met de opdracht- en besturingsservers (C & C) om eventuele updates te ontvangen wanneer deze de app starten. Nadat het zichzelf heeft bijgewerkt, gebruikt het de privilege-escalatie (Dirty Cow) -exploitant om roottoegang tot het apparaat van het slachtoffer te verkrijgen. Zodra het root toegang heeft tot het apparaat, zal het de gebruikersinformatie van het apparaat oogsten .

Momenteel gebruikt de malware de gebruikersinformatie om contact op te nemen met de netwerkdrager van het slachtoffer door zich als de gebruiker zelf voor te doen. Zodra het is geverifieerd, voert het op sms gebaseerde micro-transacties uit en int de betaling via de betaaldienst van de koerier. De malware is intelligent genoeg om alle berichten van het apparaat te verwijderen nadat de transacties hebben plaatsgevonden. Het slachtoffer heeft dus geen idee van de transacties. Over het algemeen worden de transacties uitgevoerd voor zeer kleine bedragen ($ 3 / maand). Dit is een andere voorzorgsmaatregel van de aanvaller om ervoor te zorgen dat het slachtoffer de overdrachten van het fonds niet ontdekt.

Na het volgen van de transacties, bleek dat het geld werd overgedragen aan een dummy bedrijf gevestigd in China . Aangezien op transacties gebaseerde transacties niet gemachtigd zijn om internationaal geld over te maken, zullen alleen de gebruikers die in China zijn getroffen last hebben van deze illegale transacties. De gebruikers buiten China zullen echter nog steeds de malware op hun apparaat hebben geïnstalleerd, die altijd op afstand kan worden geactiveerd, waardoor ze potentiële doelwitten worden. Zelfs als de internationale slachtoffers geen last hebben van illegale transacties, geeft de achterdeur de aanvaller de kans om meer kwaadaardige code in het apparaat te injecteren.

Hoe u uzelf kunt redden van ZNIU-malware

We hebben een heel artikel geschreven over het beschermen van uw Android-apparaat tegen malware, die u kunt lezen door hier te klikken. Het belangrijkste is om gezond verstand te gebruiken en de apps niet te installeren van niet-vertrouwde bronnen. Zelfs in het geval van ZNIU-malware hebben we gezien dat de malware wordt afgeleverd bij het mobiele slachtoffer van het slachtoffer wanneer ze pornografische of adult-gaming-apps installeren die zijn gemaakt door niet-vertrouwde ontwikkelaars. Om u te beschermen tegen deze specifieke malware, moet u ervoor zorgen dat uw apparaat op de huidige beveiligingspatch van Google staat. De exploit is hersteld met de beveiligingspatch van december (2016) van Google, dus iedereen die die patch heeft geïnstalleerd, is beschermd tegen de ZNIU-malware. Toch is het mogelijk dat u, afhankelijk van uw OEM, de update niet hebt ontvangen, daarom is het altijd beter om op de hoogte te zijn van alle risico's en de nodige voorzorgsmaatregelen van uw kant te nemen. Nogmaals, alles wat u wel en niet moet doen om te voorkomen dat uw apparaat wordt geïnfecteerd door malware wordt vermeld in het artikel dat hierboven is gelinkt.

Bescherm uw Android tegen infecties door malware

De laatste paar jaar is er een toename van malware-aanvallen op Android. De kwetsbaarheid van Dirty Cow was een van de grootste exploits die ooit is ontdekt en het is gewoon gruwelijk om te zien hoe ZNIU deze kwetsbaarheid uitbuit. ZNIU is vooral zorgelijk vanwege de omvang van de apparaten die het beïnvloedt, en de onbelemmerde controle die het de aanvaller biedt. Als u zich echter bewust bent van de problemen en de nodige voorzorgsmaatregelen neemt, is uw apparaat veilig voor deze mogelijk gevaarlijke aanvallen. Zorg er dus eerst voor dat u de nieuwste beveiligingspatches van Google bijwerkt zodra u deze hebt en ga dan weg van niet-vertrouwde en verdachte apps, bestanden en links. Wat denk je dat iemand moet doen om zijn apparaat te beschermen tegen malwareaanvallen? Laat ons je mening over het onderwerp weten door ze neer te zetten in de reacties hieronder.

Top