Будући да је Линук пројекат отвореног кода, тешко је пронаћи сигурносне пропусте у изворном коду, јер хиљаде корисника активно настављају провјеравати и поправљати исте. Због овог проактивног приступа, чак и када се открије недостатак, одмах се закрпа. Зато је било тако изненађујуће када је прошле године откривен експлоат који је избегао ригорозну дубинску анализу свих корисника у протеклих 9 година. Да, добро сте прочитали, иако је екплоит откривен у октобру 2016. године, он је постојао унутар кода кернела од последњих 9 година. Ова врста рањивости, која је тип грешке ескалације привилегија, позната је као рањивост Дирти Цов (број каталога буг кернел Линука - ЦВЕ-2016-5195).
Иако је ова рањивост закрпљена за Линук недељу дана након открића, оставила је све Андроид уређаје рањиве на овај екплоит (Андроид је заснован на Линук кернелу). Андроид је закачен у децембру 2016, међутим, због фрагментиране природе Андроид екосистема, још увијек има много Андроид уређаја који нису добили ажурирање и остају рањиви на њега. Што је још застрашујуће је да је нови Андроид малваре назван ЗНИУ откривен само пар дана уназад, који искориштава рањивост Дирти Цов. У овом чланку ћемо детаљно размотрити рањивост Дирти Цов и како се злоупотребљава на Андроиду од стране ЗНИУ малваре-а.
Шта је рањивост Дирти Цов?
Као што је горе поменуто, Дирти Цов рањивост је врста експлоатације ескалације привилегија која се може користити за додељивање привилегија супер корисника било коме. У суштини, коришћењем ове рањивости, сваки корисник са злонамерним намерама може себи доделити привилегију супер-корисника, чиме има потпуни роот приступ уређају жртве. Добијање коријенског приступа уређају жртве даје нападачу потпуну контролу над уређајем и он може извући све податке похрањене на уређају, без да корисник постане мудрији.
Шта је ЗНИУ и шта прљава крава мора да уради са тим?
ЗНИУ је први забиљежени малваре за Андроид који користи рањивост Дирти Цов за напад на Андроид уређаје. Злонамерни софтвер користи рањивост Дирти Цов за стицање роот приступа уређајима жртве. Тренутно је откривено да се малваре крије у више од 1200 игара за одрасле и порнографских апликација. У вријеме објављивања овог чланка, више од 5000 корисника у 50 земаља је наишло на то.
Који Андроид уређаји су рањиви за ЗНИУ?
Након открића рањивости Дирти Цов (октобар 2016), Гоогле је у децембру 2016. објавио закрпу како би ријешио овај проблем. Међутим, закрпа је објављена за Андроид уређаје који су радили на Андроид КитКат-у (4.4) или више. Према распаду дистрибуције Андроид ОС-а од стране Гоогле-а, више од 8% Андроид паметних телефона и даље ради на нижим верзијама Андроид-а. Од оних који раде на Андроиду 4.4 на Андроид 6.0 (Марсхмаллов), само они уређаји су сигурни који су примили и инсталирали децембарску сигурносну закрпу за своје уређаје.
То је много Андроид уређаја који имају потенцијал да буду експлоатисани. Међутим, људи могу да утичу на чињеницу да ЗНИУ користи донекле модификовану верзију рањивости Дирти Цов и стога је утврђено да је успешна само против оних Андроид уређаја који користе АРМ / Кс86 64-битну архитектуру . Ипак, ако сте Андроид власник, било би боље да проверите да ли сте инсталирали децембарску безбедносну закрпу или не.
ЗНИУ: Како функционише?
Након што корисник преузме малициозну апликацију која је заражена ЗНИУ малваре-ом, када покрену апликацију, ЗНИУ малваре ће аутоматски контактирати и повезати се са својим Ц&Ц серверима како би добио ажурирања ако су доступна. Када се ажурира, користиће ескалацију привилегија (Дирти Цов) да би стекао роот приступ жртвином уређају. Када има роот приступ уређају, он ће прикупити корисникову информацију из уређаја .
Тренутно, злонамерни софтвер користи корисничке информације за контактирање мрежног носиоца жртве тако што се представља као сам корисник. Када се аутентификује он ће извршити микро-трансакције засноване на СМС-у и наплатити плаћање преко платног сервиса превозника. Малваре је довољно интелигентан да обрише све поруке са уређаја након што су трансакције извршене. Дакле, жртва нема појма о трансакцијама. Генерално, трансакције се обављају за веома мале износе ($ 3 / месец). Ово је још једна мјера опреза коју нападач подузима како би осигурала да жртва не открије пријенос средстава.
Након праћења трансакција, утврђено је да је новац пребачен на лажну компанију са сједиштем у Кини . Пошто трансакције засноване на оператерима нису овлашћене да преносе новац на међународном нивоу, само ће корисници који су погођени Кином патити од ових илегалних трансакција. Међутим, корисници изван Кине ће и даље имати малваре инсталиран на свом уређају који се може активирати било када на даљину, што их чини потенцијалним циљевима. Чак и ако међународне жртве не пате од илегалних трансакција, бацкдоор даје нападачу могућност да убаци више злонамјерног кода у уређај.
Како спасити себе од ЗНИУ малваре-а
Написали смо цијели чланак о заштити вашег Андроид уређаја од злонамјерног софтвера, који можете прочитати кликом овдје. Основна ствар је да користите здрав разум и да не инсталирате апликације из непоузданих извора. Чак иу случају ЗНИУ малваре-а, видели смо да се злонамерни софтвер испоручује жртвином мобилном телефону када инсталирају порнографске апликације или апликације за одрасле. Да бисте се заштитили од овог малваре-а, уверите се да је ваш уређај на тренутној безбедносној закрпи од Гоогле-а. Експлоат је закрпљен са безбедносном закрпом децембра (2016) од Гоогле-а, тако да је свако ко има инсталирану закрпу сигуран од ЗНИУ малваре-а. Ипак, у зависности од вашег ОЕМ-а, можда нисте добили ажурирање, стога је увек боље бити свестан свих ризика и предузети неопходне мере опреза са ваше стране. Опет, све што би требало и не би требало да урадите да бисте сачували свој уређај од заразе малваре-ом се помиње у чланку који је повезан горе.
Заштитите свој Андроид од зараженог злонамерним софтвером
Последњих неколико година забележен је пораст напада на Андроид. Дирти Цов рањивост је била једна од највећих експлозија која је икада откривена и гледајући како ЗНИУ користи ову рањивост је само ужасна. ЗНИУ је посебно забрињавајућа због обима уређаја на које утиче, као и због неспутане контроле коју даје нападачу. Међутим, ако сте свесни проблема и предузмите неопходне мере предострожности, уређај ће бити безбедан од потенцијално опасних напада. Зато прво проверите да ли сте ажурирали најновије безбедносне закрпе од Гоогле-а чим их добијете, а затим се држите подаље од непоузданих и сумњивих апликација, датотека и веза. Шта мислите да треба заштитити свој уређај од напада злонамерних програма. Јавите нам своје мишљење о тој теми тако што ћете их оставити у одељку за коментаре испод.
