محققان امنیتی ترندمیکرو هشدار دادند که اخیرا بدافزار اندرویدی کشف شده که از آسیب پذیری گاو کثیف در لینوکس بهره برداری می کند. این آسیب پذیری یک سال پیش کشف شده است. این بدافزار ZNIU نام داشته و تلاش دارد از آسیب پذیری گاو کثیف بهره برداری کند. این آسیب پذیری به دلیل شرایط رقابتی در زیرسیستم حافظه ی هسته ی لینوکس به وجود آمده است.
شناسه ی این آسیب پذیری CVE-2016-5195 بوده و کشف شده که دستگاه های اندرویدی را نیز تحت تاثیر قرار می دهد. گوگل در ماه دسامبر، در به روزرسانی های ماهانهی خود، وصلهای را برای دستگاههای اندروید منتشر کرده است. دستگاههای اندرویدی که بهروزرسانیهای امنیتی سطح ۲۰۱۶-۱۱-۰۶ را اعمال کردهاند در وضعیت امن قرار دارند. مهاجم با بهرهبرداری از این آسیبپذیری میتواند بهطور مستقیم کدهای مخرب را در پردازهها تزریق کند. محققان میگویند مهاجم میتواند با روشهای جدیدتر و متفاوتی از آنچه که تاکنون دیدهایم، از این آسیبپذیری بهرهبرداری کند.
اینک محققان امنیتی مدعی شدهاند که خانوادهی بدافزاری جدید را بر روی بستر اندروید با نام ZNIU کشف کردهاند که از این آسیبپذیری بهرهبرداری میکند. در حملاتی که از طرف این بدافزار مشاهده شده نزدیک به ۴۰ کشور تحت تاثیر قرار گرفتهاند ولی بیشتر قربانیان در چین و هندوستان قرار دارند. تقریبا ۵ هزار کاربر به این بدافزار آلوده شدهاند. محققان همچنین اعلام کردند نزدیک به ۱۲۰۰ برنامهی کاربردی مخرب که حاوی بدافزار ZNIU هستند در وبسایتهای مخرب مشاهده شده است. در این وبسایتهای مخرب، روتکیتهایی برای بهرهبرداری از آسیبپذیری گاو کثیف نیز وجود دارد.
کد بهرهبرداری از این آسیبپذیری تنها بر روی دستگاههای اندورید با معماری ARM/X86 ۶۴ بیتی کار میکند اما برای دور زدن SELinux طراحی شده و یک درب پشتیِ ریشه را در دستگاه قربانی تزریق میکند. این بدافزار پس از نصب بر روی دستگاه قربانی با سرور دستور و کنترل ارتباط برقرار کرده و اگر نسخهی جدیدی در دسترس باشد، خود را بهروزرسانی میکند. در ادامه نیز روتکیت مناسبی را از سرور راه دور واکشی کرده و امتیازات خود را ارتقاء میدهد و یک درب پشتی برای عملیات آینده و دسترسی از راه دور، بر روی دستگاه قربانی نصب میکند.
محققان کشف کردند زمانیکه این بدافزار با سرور دستور و کنترل ارتباط برقرار میکند، از رمزنگاری استفاده میکند. آنها همچنین متوجه شدند که دامنه و سرور در داخل چین میزبانی میشوند. بدافزار ZNIU اطلاعات حامل دستگاه قربانی را جمعآوری کرده و با این حاملها از طریق سرویس پرداخت پیامکی به تعامل میپردازد. ولی با اینحال این تراکنشهای پیامکی برای حاملهای چین قابل اجرا است و به عبارت دیگر در کشورهایی به جز چین، بدافزار تنها میتواند به نصب درب پشتی بپردازد.
