بدافزار اندرویدی از آسیب‌پذیری «گاو کثیف» بهره‌برداری می‌کند

بدافزار اندرویدی از آسیب‌پذیری «گاو کثیف» بهره‌برداری می‌کند

پنج شنبه, ۶ مهر, ۱۳۹۶ ساعت ۱۱:۴۰

 

محققان امنیتی ترندمیکرو هشدار دادند که اخیرا بدافزار اندرویدی کشف شده که از آسیب پذیری گاو کثیف در لینوکس بهره برداری می کند. این آسیب پذیری یک سال پیش کشف شده است. این بدافزار ZNIU نام داشته و تلاش دارد از آسیب پذیری گاو کثیف بهره برداری کند. این آسیب پذیری به دلیل شرایط رقابتی در زیرسیستم حافظه ی هسته ی لینوکس به وجود آمده است. 


شناسه ی این آسیب پذیری CVE-2016-5195 بوده و کشف شده که دستگاه های اندرویدی را نیز تحت تاثیر قرار می دهد. گوگل در ماه دسامبر، در به روزرسانی های ماهانه‌ی خود، وصله‌ای را برای دستگاه‌های اندروید منتشر کرده است. دستگاه‌های اندرویدی که به‌روزرسانی‌های امنیتی سطح ۲۰۱۶-۱۱-۰۶ را اعمال کرده‌اند در وضعیت امن قرار دارند. مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند به‌طور مستقیم کدهای مخرب را در پردازه‌ها تزریق کند. محققان می‌گویند مهاجم می‌تواند با روش‌های جدیدتر و متفاوتی از آنچه که تاکنون دیده‌ایم، از این آسیب‌پذیری بهره‌برداری کند. 


اینک محققان امنیتی مدعی شده‌اند که خانواده‌ی بدافزاری جدید را بر روی بستر اندروید با نام ZNIU کشف کرد‌ه‌اند که از این آسیب‌پذیری بهره‌برداری می‌کند. در حملاتی که از طرف این بدافزار مشاهده شده نزدیک به ۴۰ کشور تحت تاثیر قرار گرفته‌اند ولی بیشتر قربانیان در چین و هندوستان قرار دارند. تقریبا ۵ هزار کاربر به این بدافزار آلوده شده‌اند. محققان همچنین اعلام کردند نزدیک به ۱۲۰۰ برنامه‌ی کاربردی مخرب که حاوی بدافزار ZNIU هستند در وب‌سایت‌های مخرب مشاهده شده است. در این وب‌سایت‌های مخرب، روت‌کیت‌هایی برای بهره‌برداری از آسیب‌پذیری گاو کثیف نیز وجود دارد.


کد بهره‌برداری از این آسیب‌پذیری تنها بر روی دستگاه‌های اندورید با معماری ARM/X86 ۶۴ بیتی کار می‌کند اما برای دور زدن SELinux طراحی شده و یک درب پشتیِ ریشه را در دستگاه قربانی تزریق می‌کند. این بدافزار پس از نصب بر روی دستگاه قربانی با سرور دستور و کنترل ارتباط برقرار کرده و اگر نسخه‌ی جدیدی در دسترس باشد، خود را به‌روزرسانی می‌کند. در ادامه نیز روت‌کیت مناسبی را از سرور راه دور واکشی کرده و امتیازات خود را ارتقاء می‌دهد و یک درب پشتی برای عملیات آینده و دسترسی از راه دور، بر روی دستگاه قربانی نصب می‌کند.


محققان کشف کردند زمانی‌که این بدافزار با سرور دستور و کنترل ارتباط برقرار می‌کند، از رمزنگاری استفاده می‌کند. آن‌ها همچنین متوجه شدند که دامنه و سرور در داخل چین میزبانی می‌شوند. بدافزار ZNIU اطلاعات حامل دستگاه قربانی را جمع‌آوری کرده و با این حامل‌ها از طریق سرویس پرداخت پیامکی به تعامل می‌پردازد. ولی با این‌حال این تراکنش‌های پیامکی برای حامل‌های چین قابل اجرا است و به عبارت دیگر در کشورهایی به جز چین، بدافزار تنها می‌تواند به نصب درب پشتی بپردازد.

 

منبع


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نه + شش =