کشفِ اولین بدافزار اندرویدی که از آسیب‌پذیری گاو کثیف برای ارتقاء امتیاز بهره‌برداری می‌کند

محققان امنیتی هشدار دادند که تقریبا یک سال پس از افشای آسیب‌پذیری گاو کثیف در هسته‌ی لینوکس، مهاجمان سایبری بهره‌برداری از این آسیب‌پذیری علیه کاربران اندروید را آغاز کردند. آسیب‌پذیری گاو کثیف در بخش‌هایی از هسته‌ی لینوکس وجود داشته و در اکتبر سال گذشته به‌طور عمومی افشاء شده و در حملات دنیای واقعی مورد بهره‌برداری قرار می‌گیرد. 

 

این آسیب‌پذیری به یک کاربر محلی و بدون امتیاز اجازه می‌دهد با سوءاستفاده از یک شرایط رقابتی به دسترسی‌های ریشه رسیده و به پرونده‌های اجرایی ریشه و فقط-خواندنی دسترسی داشته و حملات راه دور خود را انجام دهد. محققان امنیتی ترندمیکرو روز دوشنبه در یک پست وبلاگی توضیح دادند که آسیب‌پذیری گاو کثیف با شناسه‌ی CVE-2016-5195 توسط یک بدافزار اندرویدی با نام ZNIU مورد بهره‌برداری قرار می‌گیرد. این اولین باری است که مشاهده می‌کنیم یک بدافزار اندرویدی طوری طراحی شده تا از یک آسیب‌پذیری در دستگاه‌های اندروید بهره‌برداری کند.

 

کد بهره‌برداری از آسیب‌پذیری گاو کثیف، در ۱۲۰۰ برنامه‌ی کاربردی اندروید کشف شده است

بدافزار از این آسیب‌پذیری بهره‌برداری کرده و دستگاه اندروید را با استفاده از سازوکار COW در هسته‌ی لینوکس روت کرده و یک درب پشتی بر روی دستگاه نصب می‌کند که در آینده با استفاده از این درب پشتی می‌تواند به جمع‌آوری اطلاعات پرداخته و با استفاده از تماس‌های هزینه‌دار، سود زیادی به جیب بزند. محققان ترند میکرو بدافزار ZNIU را بر روی ۱۲۰۰ برنامه‌ی کاربردی اندروید شناسایی کردند که در یک وب‌گاه مخرب میزبانی می‌شدند. در این وب‌گاه مخرب یک روت‌کیت نیز برای بهره‌برداری از آسیب‌پذیری گاو کثیف میزبانی می‌شد. هرچند که آسیب‌پذیری گاو کثیف تمامی نسخه‌های اندروید را تحت تاثیر قرار می‌دهد ولی بدافزار ZNIU بر روی دستگاه‌های اندروید ۶۴ بیتی با معماری ARM/X86 می‌تواند از این آسیب‌پذیری بهره‌برداری کند. بهره‌برداری اخیر می‌تواند SELinux را دور زده و درب پشتی را بر روی دستگاه قربانی قرار دهد. 

 

بهره‌برداری بدافزار ZNIU از آسیب‌پذیری گاو کثیف چگونه کار می‌کند؟

بدافزار ZNIU پس از بارگیری و نصب بر روی دستگاه قربانی، با کارگزار دستور و کنترل ارتباط برقرار کرده و به‌روزرسانی کدها را بررسی می‌کند. این بدافزار همچنین اطلاعات حامل‌ها را بدست آورده و تلاش می‌کند پرداخت‌ها را با پیامک‌های هزینه‌دار به یک شرکت کلاه‌برداری در چین هدایت کند. پس از ارسال پیامک، بدافزار برای پاک کردن شواهد، این پیام را از دستگاه قربانی حذف می‌کند.

 

محققان امنیتی کشف کردند این بدافزار در هفته‌های اخیر نزدیک به ۵ هزار دستگاه را در ۴۰ کشور آلوده کرده که بیشتر قربانیان در کشورهای چین و هندوستان قرار دارند و دیگر قربانیان در آمریکا، ژاپن، کانادا، آلمان و اندونزی ساکن هستند. شرکت گوگل در به‌روزرسانی‌های امنیتی خود برای اندروید، آسیب‌پذیری گاو کثیف را نیز وصله کرده و به کاربران اطمینان داده که ویژگی Play Protect از آن‌ها در برابر چنین بدافزارهایی حفاظت می‌کند. تنها راه برای شما برای در امان ماندن از چنین بدافزارهایی این است که از بازارهای ثالث برنامه بارگیری و نصب نکرده و به فروشگاه گوگل‌پلی اکتفا کنید.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید