Vì Linux là một dự án nguồn mở, thật khó để tìm thấy các lỗi bảo mật trong mã nguồn của nó khi hàng ngàn người dùng chủ động tiếp tục kiểm tra và sửa lỗi giống nhau. Do cách tiếp cận chủ động này, ngay cả khi một lỗ hổng được phát hiện, nó đã được vá ngay lập tức. Đó là lý do tại sao nó rất đáng ngạc nhiên khi một khai thác được phát hiện vào năm ngoái đã thoát khỏi sự siêng năng nghiêm ngặt của tất cả người dùng trong 9 năm qua. Vâng, bạn đã đọc đúng, mặc dù khai thác được phát hiện vào tháng 10 năm 2016, nó đã tồn tại bên trong mã hạt nhân Linux từ 9 năm trước. Loại lỗ hổng bảo mật này, là một loại lỗi leo thang đặc quyền được gọi là lỗ hổng Dirty Cow (số danh mục lỗi của nhân Linux - CVE-2016-5195).
Mặc dù lỗ hổng này đã được vá cho Linux một tuần sau khi phát hiện ra, nhưng nó đã khiến tất cả các thiết bị Android dễ bị khai thác (Android dựa trên nhân Linux). Android đã được vá vào tháng 12 năm 2016, tuy nhiên, do tính chất phân mảnh của hệ sinh thái Android, vẫn còn rất nhiều thiết bị Android chưa nhận được bản cập nhật và vẫn dễ bị tổn thương. Điều đáng sợ hơn là một phần mềm độc hại Android mới có tên ZNIU đã được phát hiện chỉ một vài ngày trước đó đang khai thác lỗ hổng Dirty Cow. Trong bài viết này, chúng tôi sẽ xem xét sâu về lỗ hổng Dirty Cow và cách nó bị lạm dụng trên Android bởi phần mềm độc hại ZNIU.
Lỗ hổng bò bẩn là gì?
Như đã đề cập ở trên, lỗ hổng Dirty Cow là một loại khai thác leo thang đặc quyền có thể được sử dụng để cấp đặc quyền siêu người dùng cho bất kỳ ai. Về cơ bản, bằng cách sử dụng lỗ hổng này, bất kỳ người dùng nào có ý định độc hại đều có thể cấp cho mình một đặc quyền siêu người dùng, do đó có quyền truy cập root hoàn toàn vào thiết bị của nạn nhân. Việc truy cập root vào thiết bị của nạn nhân giúp kẻ tấn công có toàn quyền kiểm soát thiết bị và anh ta có thể trích xuất tất cả dữ liệu được lưu trữ trên thiết bị mà không cần người dùng trở nên khôn ngoan hơn.
ZNIU là gì và con bò bẩn có liên quan gì với nó?
ZNIU là phần mềm độc hại được ghi nhận đầu tiên cho Android đang sử dụng lỗ hổng Dirty Cow để tấn công các thiết bị Android. Phần mềm độc hại sử dụng lỗ hổng Dirty Cow để có quyền truy cập root vào thiết bị của nạn nhân. Hiện tại, phần mềm độc hại đã được phát hiện đang ẩn trong hơn 1200 ứng dụng chơi game và khiêu dâm dành cho người lớn. Tại thời điểm xuất bản bài viết này, hơn 5000 người dùng trên 50 quốc gia đã bị phát hiện bị ảnh hưởng bởi nó.
Những thiết bị Android nào dễ bị ZNIU?
Sau khi phát hiện ra lỗ hổng Dirty Cow (tháng 10 năm 2016), Google đã phát hành một bản vá vào tháng 12 năm 2016 để khắc phục vấn đề này. Tuy nhiên, bản vá đã được phát hành cho các thiết bị Android đang chạy trên Android KitKat (4.4) trở lên. Theo sự phân chia hệ điều hành Android của Google, hơn 8% điện thoại thông minh Android vẫn đang chạy trên các phiên bản thấp hơn của Android. Trong số những thiết bị chạy trên Android 4.4 đến Android 6.0 (Marshmallow), chỉ những thiết bị đó an toàn mới nhận và cài đặt bản vá bảo mật tháng 12 cho thiết bị của họ.
Đó là rất nhiều thiết bị Android có tiềm năng được khai thác. Tuy nhiên, mọi người có thể an ủi rằng ZNIU đang sử dụng phiên bản sửa đổi phần nào của lỗ hổng Dirty Cow và do đó, nó đã được tìm thấy chỉ thành công với các thiết bị Android đang sử dụng kiến trúc ARM / X86 64 bit . Tuy nhiên, nếu bạn là chủ sở hữu Android, sẽ tốt hơn nếu bạn kiểm tra xem bạn đã cài đặt bản vá bảo mật tháng 12 hay chưa.
ZNIU: Nó hoạt động như thế nào?
Sau khi người dùng đã tải xuống một ứng dụng độc hại đã bị nhiễm phần mềm độc hại ZNIU, khi họ khởi chạy ứng dụng, phần mềm độc hại ZNIU sẽ tự động liên hệ và kết nối với các máy chủ chỉ huy và kiểm soát (C & C) của nó để có được bất kỳ cập nhật nào nếu có. Khi nó đã tự cập nhật, nó sẽ sử dụng khai thác đặc quyền leo thang (Dirty Cow) để có quyền truy cập root vào thiết bị của nạn nhân. Khi có quyền truy cập root vào thiết bị, nó sẽ thu thập thông tin của người dùng từ thiết bị .
Hiện tại, phần mềm độc hại đang sử dụng thông tin người dùng để liên hệ với nhà mạng của nạn nhân bằng cách tự đặt mình là người dùng. Sau khi được xác thực, nó sẽ thực hiện các giao dịch vi mô dựa trên SMS và thu tiền thanh toán thông qua dịch vụ thanh toán của người vận chuyển. Phần mềm độc hại đủ thông minh để xóa tất cả các tin nhắn khỏi thiết bị sau khi các giao dịch đã diễn ra. Do đó, nạn nhân không có ý kiến gì về các giao dịch. Nói chung, các giao dịch được thực hiện với số lượng rất nhỏ ($ 3 / tháng). Đây là một biện pháp phòng ngừa khác được thực hiện bởi kẻ tấn công để đảm bảo rằng nạn nhân không phát hiện ra việc chuyển tiền.
Sau khi theo dõi các giao dịch, người ta thấy rằng tiền đã được chuyển đến một công ty giả có trụ sở tại Trung Quốc . Vì các giao dịch dựa trên nhà mạng không được phép chuyển tiền quốc tế, nên chỉ những người dùng bị ảnh hưởng ở Trung Quốc sẽ phải chịu những giao dịch bất hợp pháp này. Tuy nhiên, người dùng bên ngoài Trung Quốc vẫn sẽ cài đặt phần mềm độc hại trên thiết bị của họ, có thể được kích hoạt bất cứ lúc nào từ xa, khiến chúng trở thành mục tiêu tiềm năng. Ngay cả khi các nạn nhân quốc tế không bị các giao dịch bất hợp pháp, thì cửa hậu cung cấp cho kẻ tấn công cơ hội tiêm thêm mã độc vào thiết bị.
Cách tự cứu mình khỏi phần mềm độc hại ZNIU
Chúng tôi đã viết cả một bài viết về bảo vệ thiết bị Android của bạn khỏi phần mềm độc hại, bạn có thể đọc bằng cách nhấp vào đây. Điều cơ bản là sử dụng thông thường và không cài đặt các ứng dụng từ các nguồn không đáng tin cậy. Ngay cả trong trường hợp phần mềm độc hại ZNIU, chúng tôi đã thấy rằng phần mềm độc hại được gửi đến điện thoại di động của nạn nhân khi họ cài đặt các ứng dụng khiêu dâm hoặc chơi game người lớn, được tạo bởi các nhà phát triển không tin cậy. Để bảo vệ chống lại phần mềm độc hại cụ thể này, hãy đảm bảo rằng thiết bị của bạn nằm trên bản vá bảo mật hiện tại của Google. Khai thác đã được vá bằng bản vá bảo mật tháng 12 (2016) từ Google, do đó bất kỳ ai đã cài đặt bản vá đó đều an toàn trước phần mềm độc hại ZNIU. Tuy nhiên, tùy thuộc vào OEM của bạn, bạn có thể chưa nhận được bản cập nhật, do đó, tốt hơn hết là bạn nên nhận thức được tất cả các rủi ro và đề phòng cần thiết từ phía bạn. Một lần nữa, mọi thứ bạn nên và không nên làm để cứu thiết bị của mình khỏi bị nhiễm phần mềm độc hại được đề cập trong bài viết được liên kết ở trên.
Bảo vệ Android của bạn khỏi bị lây nhiễm bởi phần mềm độc hại
Vài năm gần đây đã chứng kiến sự gia tăng các cuộc tấn công phần mềm độc hại trên Android. Lỗ hổng Dirty Cow là một trong những khai thác lớn nhất từng được phát hiện và xem ZNIU khai thác lỗ hổng này như thế nào là khủng khiếp. ZNIU đặc biệt đáng lo ngại vì mức độ ảnh hưởng của các thiết bị và khả năng kiểm soát mà nó cấp cho kẻ tấn công. Tuy nhiên, nếu bạn nhận thức được các vấn đề và thực hiện các biện pháp phòng ngừa cần thiết, thiết bị của bạn sẽ an toàn trước các cuộc tấn công nguy hiểm tiềm tàng này. Vì vậy, trước tiên hãy đảm bảo rằng bạn cập nhật các bản vá bảo mật mới nhất từ Google ngay khi bạn nhận được chúng, sau đó tránh xa các ứng dụng, tệp và liên kết không đáng tin cậy và đáng tin cậy. Bạn nghĩ người ta nên làm gì để bảo vệ thiết bị của họ trước các cuộc tấn công phần mềm độc hại. Hãy cho chúng tôi biết suy nghĩ của bạn về chủ đề này bằng cách thả chúng xuống trong phần bình luận bên dưới.