Da es sich bei Linux um ein Open-Source-Projekt handelt, sind Sicherheitslücken im Quellcode nur schwer zu finden, da Tausende von Benutzern diese ständig prüfen und beheben. Aufgrund dieses proaktiven Ansatzes wird der Fehler sofort behoben, selbst wenn ein Fehler entdeckt wird. Deshalb war es so überraschend, als im vergangenen Jahr ein Exploit entdeckt wurde, der in den letzten 9 Jahren der strengen Sorgfaltspflicht aller Nutzer entgangen ist. Ja, Sie haben es richtig gelesen, obwohl der Exploit im Oktober 2016 entdeckt wurde, war er seit neun Jahren im Linux-Kernel-Code vorhanden. Diese Art von Sicherheitsanfälligkeit, bei der es sich um eine Art von Privilegien-Eskalationsfehler handelt, wird als Dirty Cow-Sicherheitsanfälligkeit (Katalognummer des Linux-Kernel-Fehlers - CVE-2016-5195) bezeichnet.
Obwohl diese Sicherheitsanfälligkeit eine Woche nach ihrer Entdeckung für Linux gepatcht wurde, sind alle Android-Geräte für diesen Exploit anfällig (Android basiert auf Linux-Kernel). Die Android-Patches folgten im Dezember 2016, jedoch gibt es aufgrund der Fragmentierung des Android-Ökosystems immer noch viele Android-Geräte, die das Update nicht erhalten haben und anfällig dafür bleiben. Noch beängstigender ist, dass erst vor ein paar Tagen eine neue Android-Malware mit dem Namen ZNIU entdeckt wurde, die die Sicherheitsanfälligkeit "Dirty Cow" ausnutzt. In diesem Artikel werden wir uns eingehend mit der Sicherheitsanfälligkeit von Dirty Cow und deren Missbrauch unter Android durch ZNIU-Malware befassen.
Was ist die Sicherheitsanfälligkeit durch Schmutzkuh?
Wie bereits erwähnt, ist die Sicherheitsanfälligkeit "Dirty Cow" eine Art von Exploit zur Ausweitung von Berechtigungen, mit dem Superuser-Berechtigungen an alle Personen vergeben werden können. Bei Verwendung dieser Sicherheitsanfälligkeit kann sich jeder Benutzer mit böswilliger Absicht grundsätzlich ein Superuser-Privileg gewähren, wodurch er vollständigen Root-Zugriff auf das Gerät eines Opfers hat. Durch den Root-Zugriff auf das Gerät eines Opfers erhält der Angreifer die volle Kontrolle über das Gerät. Er kann alle auf dem Gerät gespeicherten Daten extrahieren, ohne dass der Benutzer klüger wird.
Was ist ZNIU und was hat Dirty Cow damit zu tun?
ZNIU ist die erste aufgezeichnete Malware für Android, die die Dirty Cow-Schwachstelle zum Angriff auf Android-Geräte nutzt. Die Malware nutzt die Dirty Cow-Schwachstelle, um Root-Zugriff auf die Geräte des Opfers zu erhalten. Derzeit hat sich herausgestellt, dass Malware in über 1200 Erwachsenen-Spiele und pornografischen Apps versteckt ist. Zum Zeitpunkt der Veröffentlichung dieses Artikels waren mehr als 5000 Benutzer in 50 Ländern davon betroffen.
Welche Android-Geräte sind anfällig für ZNIU?
Nach der Entdeckung der Dirty Cow-Schwachstelle (Oktober 2016) hat Google im Dezember 2016 einen Patch zur Behebung dieses Problems veröffentlicht. Der Patch wurde jedoch für Android-Geräte veröffentlicht, die unter Android KitKat (4.4) oder höher ausgeführt wurden. Nach dem Auseinanderbrechen der Android-Betriebssystemdistribution von Google laufen immer noch mehr als 8% der Android-Smartphones mit niedrigeren Versionen von Android. Von denjenigen, die unter Android 4.4 bis Android 6.0 (Marshmallow) laufen, sind nur die Geräte sicher, die den Dezember-Sicherheitspatch für ihre Geräte erhalten und installiert haben.
Das sind viele Android-Geräte, die potenziell genutzt werden können. Die Menschen können sich jedoch darauf einlassen, dass ZNIU eine etwas modifizierte Version der Dirty Cow-Sicherheitsanfälligkeit verwendet, und es wurde festgestellt, dass dies nur gegen Android-Geräte erfolgreich ist, die die 64-Bit-Architektur ARM / X86 verwenden . Wenn Sie ein Android-Besitzer sind, sollten Sie dennoch prüfen, ob Sie den Dezember-Sicherheitspatch installiert haben oder nicht.
ZNIU: Wie funktioniert das?
Nachdem der Benutzer eine mit ZNIU-Malware infizierte schädliche App heruntergeladen hat, kontaktiert die ZNIU-Malware beim Starten der App automatisch eine Verbindung zu ihren Befehls- und Steuerungsservern (C & C) und stellt eine Verbindung zu ihnen her, um ggf. verfügbare Updates abzurufen . Sobald es sich selbst aktualisiert hat, nutzt es den Privilegien-Eskalations-Exploit (Dirty Cow), um den Root-Zugriff auf das Gerät des Opfers zu erhalten. Sobald Root Zugriff auf das Gerät hat, werden die Benutzerinformationen vom Gerät gesammelt .
Derzeit verwendet die Malware die Benutzerinformationen, um den Netzbetreiber des Opfers zu kontaktieren, indem sie sich selbst als Benutzer ausgeben. Nach der Authentifizierung werden SMS-basierte Mikrotransaktionen durchgeführt und die Zahlung über den Zahlungsdienst des Spediteurs abgeholt. Die Malware ist intelligent genug, um alle Nachrichten nach den Transaktionen vom Gerät zu löschen. Das Opfer hat also keine Ahnung von den Transaktionen. Im Allgemeinen werden die Transaktionen für sehr kleine Beträge (3 USD / Monat) ausgeführt. Dies ist eine weitere Vorsichtsmaßnahme des Angreifers, um sicherzustellen, dass das Opfer die Geldtransfers nicht findet.
Nach der Verfolgung der Transaktionen wurde festgestellt, dass das Geld an eine in China ansässige Dummy-Firma überwiesen wurde . Da Carrier-basierte Transaktionen nicht zur internationalen Überweisung von Geld berechtigt sind, leiden nur die in China betroffenen Benutzer unter diesen illegalen Transaktionen. Die Benutzer außerhalb Chinas haben jedoch weiterhin die Malware auf ihrem Gerät installiert, die jederzeit ferngesteuert werden kann, wodurch sie zu potenziellen Zielen werden. Selbst wenn die internationalen Opfer nicht unter illegalen Transaktionen leiden, gibt der Angreifer durch die Hintertür die Möglichkeit, mehr schädlichen Code in das Gerät einzuschleusen.
So sichern Sie sich vor ZNIU-Malware
Wir haben einen ganzen Artikel zum Schutz Ihres Android-Geräts vor Malware geschrieben, den Sie hier lesen können. Die grundlegende Sache ist, den gesunden Menschenverstand zu verwenden und die Apps nicht aus nicht vertrauenswürdigen Quellen zu installieren. Selbst im Fall von ZNIU-Malware haben wir festgestellt, dass die Malware an die Benutzer von Opfern geliefert wird, wenn sie pornografische oder Erwachsenenspiele-Apps installieren, die von nicht vertrauenswürdigen Entwicklern erstellt werden. Stellen Sie zum Schutz vor dieser spezifischen Malware sicher, dass sich Ihr Gerät im aktuellen Sicherheitspatch von Google befindet. Der Exploit wurde mit dem Sicherheitspatch (Dezember 2016) von Google gepatcht. Daher ist jeder, der diesen Patch installiert hat, vor der ZNIU-Malware geschützt. Abhängig von Ihrem OEM haben Sie das Update möglicherweise nicht erhalten. Daher ist es immer besser, sich aller Risiken bewusst zu sein und die erforderlichen Vorsichtsmaßnahmen von Ihrer Seite zu treffen. Alles, was Sie tun sollten und nicht tun sollten, um Ihr Gerät vor einer Infektion durch Malware zu schützen, wird in dem oben genannten Artikel erwähnt.
Schützen Sie Ihr Android vor Ansteckung durch Malware
In den letzten Jahren haben Malware-Angriffe auf Android zugenommen. Die Verwundbarkeit von Dirty Cow war einer der größten Exploits, die je entdeckt wurden. Es ist schrecklich, wie ZNIU diese Verwundbarkeit ausnutzt. ZNIU ist besonders besorgniserregend, da es auf das Ausmaß der betroffenen Geräte und die uneingeschränkte Kontrolle des Angreifers ankommt. Wenn Sie jedoch über die Probleme Bescheid wissen und die erforderlichen Vorsichtsmaßnahmen treffen, ist Ihr Gerät vor diesen potenziell gefährlichen Angriffen geschützt. Stellen Sie daher zunächst sicher, dass Sie die neuesten Sicherheitspatches von Google aktualisieren, sobald Sie sie erhalten, und halten Sie sich dann von nicht vertrauenswürdigen und verdächtigen Apps, Dateien und Links fern. Was sollte Ihrer Meinung nach das Gerät vor Malware-Angriffen schützen? Teilen Sie uns Ihre Gedanken zu diesem Thema mit, indem Sie sie unten in den Kommentaren einblenden.