下载 | ZNIU恶意软件用脏牛漏洞root安卓设备 针对我国用户 所有版本受影响

ZNIU是首个利用“脏牛”(Dirty COW CVE-2016-5195)漏洞感染用户的恶意软件。“脏牛”是2016年10月在Linux内核中发现的权限提升漏洞。攻击者可利用该漏洞将攻击代码权限提升至root级别,从而开展恶意行动。

脏牛Dirty COW漏洞

“脏牛”自2007年就存在于Linux内核代码中,到目前已有9年之久。研究员发现“脏牛”是一个零日漏洞,称攻击者可基于该漏洞攻击Linux服务器。修复补丁会立即发布。

“脏牛”同样影响安卓设备

该漏洞曝光数日后,研究员发现“脏牛”可用于root安卓设备,这是因为安卓操作系统基于早期版本的Linux内核,很容易受到“脏牛”漏洞利用程序的攻击。安卓系统的所有版本均受影响。Google在2016年11月发布了修复补丁。

ZNIU恶意软件利用“脏牛”漏洞root设备,植入后门

昨天,Trend Micro公司的安全研究员发布报告,详细介绍了新恶意软件家族ZNIU,称ZNIU利用“脏牛”漏洞root设备,植入后门。

研究员称,攻击者利用该后门收集受影响设备上的信息。第二阶段的攻击仅针对中国用户。攻击者利用后门赋予的完全设备控制权,为用户订阅付费短信服务(该服务原本会使本地公司受益)。

Trend Micro称,在多个在线网站上发现了1200多个恶意应用程序携带ZNIU恶意软件。大多数受感染的应用程序与游戏和色情相关。

该公司称,发现大约5000名用户感染了ZNIU恶意软件。这个数据可能是保守估计,因为Trend Micro只是关注了自身的移动安全方案保护的设备。

ZNIU的受害者遍布40多个国家,但主要集中在中国和印度。

据趋势科技称,远程攻击服务器的 URL 以及客户端和服务器之间的通信也被发现是加密的。但在使用字符串解密后, 进一步探索了恶意攻击服务器的详细信息, 揭示了其域和服务器主机位于我国,恶意攻击服务器的链接可以在附件IOC文档中找到。

更多详细分析见这里

https://blog.trendmicro.com/trendlabs-security-intelligence/zniu-first-android-malware-exploit-dirty-cow-vulnerability/

ZNIU的“脏牛”实现方式很粗劣

在技术层面上,ZNIU利用的“脏牛”漏洞利用程序与研究员去年发布的PoC不同。“脏牛”漏洞利用程序的代码只适用于ARM/X86 64位的安卓设备。在感染ARM 32位CPU的安卓手机时,ZNIU借助KingoRoot应用和Iovyroot利用程序(CVE-2015-1805)获取root访问权限,而不利用“脏牛”。

被ZNIU感染的应用程序无法成功提交到Google Play商店。为防止感染任何恶意软件,用户应当避免安装Google Play商店以外的地方提供的应用程序。虽然Google Play商店并非完美无缺,但它与大部分地下应用程序的不同之处在于它会进行基本安全扫描

ZNIU恶意软件脏牛IOC

点击图片下载

 

发表评论