新闻快讯
< >

国内安卓用户小心!恶意软件ZNIU用“脏牛漏洞”Root安卓设备,植入后门

E安全9月27日讯 在Linux内核中存在九年之久的提权漏洞“脏牛”(Dirty COW)去年10月浮出水面,攻击者可提升至root权限执行恶意操作。

被发现之时,“脏牛”是一个零日漏洞CVE-2016-5195。研究人员当时表示,攻击者利用该漏洞攻击Linux服务器,Linux随即发布补丁修复漏洞。最近,研究人员发现首款利用“脏牛”漏洞的安卓恶意软件,其名为“ZNIU”。

ZNIU用“脏牛”Root安卓设备,植入后门

发现提权漏洞“脏牛”几天之后,研究人员发现“脏牛”还能用来获取安卓设备的Root权限,这是因为安卓操作系统基于早期的Linux内核。

首款利用“脏牛”漏洞的安卓恶意软件“ZNIU”浮出水面:中国受害严重-E安全

安卓操作系统所有版本均受到影响,谷歌于2016年11月发布安卓补丁。

更多有关“脏牛”的详情见以下【视频】:

9月25日,趋势科技的安全研究人员发布报告详细介绍了新恶意软件ZNIU,其使用“脏牛”获取设备的Root权限,并植入后门。

大多数受害者位于中国和印度

研究人员表示,攻击者利用这个恶意软件收集被感染设备上的信息。奇怪的是,只有当用户位于中国时,攻击才会进入第二阶段感染。攻击者使用后门赋予的完全控制权限为用户订阅付费短信服务。

首款利用“脏牛”漏洞的安卓恶意软件“ZNIU”浮出水面:中国受害严重-E安全

ZNIU感染链

趋势科技在多个在线网站发现超过1200个携带ZNIU的恶意应用程序,大多数被感染的应用程序为游戏和色情应用,目前检测到约5000名用户遭遇ZNIU恶意软件感染,但这个数据可能有些保守,因为其只查看了自身移动安全解决方案保护的设备。

首款利用“脏牛”漏洞的安卓恶意软件“ZNIU”浮出水面:中国受害严重-E安全

ZNIU的受害者遍布40个国家,大多数受害者位于中国和印度。

ZNIU的“脏牛”实现方式逊色

从技术层面来看,ZNIU使用 “脏牛”漏洞利用与研究人员去年发布的PoC代码不同。

这个“脏牛”漏洞利用代码只适用于ARM/X86 64位系统的安卓设备。当感染ARM32位CPU的安卓手机时,ZNIU借助KingoRoot应用和Iovyroot漏洞利用(CVE-2015-1805)获取Root访问权限。

被ZNIU感染的应用程序从未成功登陆Google Play商店。用户应当避免在Google Play商店以外的地方安装应用程序。

ZNIU的完整技术报告,请戳

相关阅读:

Linux内核9年高龄的“脏牛”0day漏洞POC测试报告
Linux团队发布CVE-2016-5195“脏牛漏洞”补

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。