Phát hiện malware trên Android khai thác lỗ hổng Dirty Cow, chiếm đặc quyền root

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Phát hiện malware trên Android khai thác lỗ hổng Dirty Cow, chiếm đặc quyền root
Gần một năm sau lỗ hổng Dirty COW bị phát hiện ảnh hưởng đến nhân Linux, tội phạm mạng đã bắt đầu khai thác lỗ hổng đối với người dùng Android.
Dirty COW có mặt trong mọi bản phân phối Linux, bao gồm Red Hat, Debian và Ubuntu trong nhiều năm.

dirtycow-android-malware.png

Lỗ hổng cho phép một kẻ tấn công không có đặc quyền chiếm quyền root thông qua một lỗi điều kiện, truy cập đến các file thực thi read-only-root-owned và cho phép tấn công từ xa.

Tuy nhiên, nhóm nghiên cứu an ninh từ Trend Micro tiết lộ lỗ hổng Dirty COW (CVE-2016-5195) được khai thác bởi một mẫu malware AndroidOS_ZNIU.

Đây là mẫu malware đầu tiên tồn tại lỗ hổng bị khai trên các thiết bị di động.

Malware dùng việc khai thác Dirty Cow để root các thiết bị Android thông qua cơ chế copy-on-write (COW) trong nhân Linux của Android và cài cắm một backdoor được hacker dùng để thu thập dữ liệu và sinh lời thông qua một số điện thoại lừa đảo.

Các nhà nghiên cứu Trend Micro phát hiện malware ZNIU trong hơn 1.200 ứng dụng độc hại của Android, một vài trong số đó ngụy trang dưới dạng những ứng dụng khiêu dâm - được tải từ các website có chứa các rootkit malware cho phép khai thác Dirty Cow.

Trong khi lỗ hổng Dirty Cow ảnh hưởng đến tất cả các phiên bản của hệ điều hành Android, việc khai thác Dirty Cow của ZNIU chỉ ảnh hưởng đến các thiết bị Android có vi xử lý ARM/X86 64-bit. Tuy nhiên, việc khai thác gần đây có thể được sử dụng để qua mặt các backdoor SELinux và plant.

Cách Dirty Cow ZNIU khai thác lỗ hổng trong malware android

Sau khi được tải về và cài đặt, ứng dụng chứa malware ZNIU kết nối đến máy chủ C&C để kiểm tra các bản cập nhập code, đồng thời khai thác Dirty Cow tạo điều kiện leo thang đặc quyền để giành đặc quyền root trên thiết bị, qua mặt hàng rào bảo vệ hệ thống và tạo ra một backdoor cho các cuộc tấn công chiếm quyền điều khiển từ xa trong tương lai.

Malware cũng thu thập thông tin nhà mạng của người dùng và gửi các khoản thanh toán qua các tin nhắn SMS lừa đảo đến một công ty ma ở Trung Quốc.

Khi giao dịch qua SMS thành công, malware xóa tin nhắn trên thiết bị để hủy dấu vết.

Các nhà nghiên cứu phát hiện malware đã lây nhiễm hơn 5.000 người dùng Android trên 40 quốc gia, nạn nhân chủ yếu tại Trung Quốc và Ấn Độ.

Google đã phát hành bản cập nhật cho Android để vá lỗ hổng Dirty Cow cùng với các lỗi khác, đồng thời khẳng định tính năng Play Protect có thể bảo vệ người dùng Android khỏi malware.

Để không trở thành mục tiêu của malware, người dùng tránh tải các ứng dụng từ bên thứ ba mà nên tải từ trang Play Store chính thức của Google.

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
android dirty cow linux redhad
Bên trên