查看原文
其他

国内安卓用户小心!恶意软件ZNIU用“脏牛漏洞”Root安卓设备,植入后门

2017-09-27 E小编 E安全

E安全9月27日讯 在Linux内核中存在九年之久的提权漏洞“脏牛”(Dirty COW)去年10月浮出水面,攻击者可提升至root权限执行恶意操作。

被发现之时,“脏牛”是一个零日漏洞CVE-2016-5195。研究人员当时表示,攻击者利用该漏洞攻击Linux服务器,Linux随即发布补丁修复漏洞。最近,研究人员发现首款利用“脏牛”漏洞的安卓恶意软件,其名为“ZNIU”。

ZNIU用“脏牛”Root安卓设备,植入后门


发现提权漏洞“脏牛”几天之后,研究人员发现“脏牛”还能用来获取安卓设备的Root权限,这是因为安卓操作系统基于早期的Linux内核。

安卓操作系统所有版本均受到影响,谷歌于2016年11月发布安卓补丁。

更多有关“脏牛”的详情见以下【视频】:

https://v.qq.com/txp/iframe/player.html?vid=a0554use7ds&width=500&height=375&auto=0

9月25日,趋势科技的安全研究人员发布报告详细介绍了新恶意软件ZNIU,其使用“脏牛”获取设备的Root权限,并植入后门。

大多数受害者位于中国和印度

研究人员表示,攻击者利用这个恶意软件收集被感染设备上的信息。奇怪的是,只有当用户位于中国时,攻击才会进入第二阶段感染。攻击者使用后门赋予的完全控制权限为用户订阅付费短信服务。

ZNIU感染链

趋势科技在多个在线网站发现超过1200个携带ZNIU的恶意应用程序,大多数被感染的应用程序为游戏和色情应用,目前检测到约5000名用户遭遇ZNIU恶意软件感染,但这个数据可能有些保守,因为其只查看了自身移动安全解决方案保护的设备。

ZNIU的受害者遍布40个国家,大多数受害者位于中国和印度。

ZNIU的“脏牛”实现方式逊色


从技术层面来看,ZNIU使用 “脏牛”漏洞利用与研究人员去年发布的PoC代码不同。

这个“脏牛”漏洞利用代码只适用于ARM/X86 64位系统的安卓设备。当感染ARM32位CPU的安卓手机时,ZNIU借助KingoRoot应用和Iovyroot漏洞利用(CVE-2015-1805)获取Root访问权限。

被ZNIU感染的应用程序从未成功登陆Google Play商店。用户应当避免在Google Play商店以外的地方安装应用程序。

ZNIU的完整技术报告,http://t.cn/R0iHEau

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/360968135.shtml

相关阅读:

▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存