Обнаружен первый Android-вредонос, эксплуатирующий уязвимость Dirty COW
В октябре минувшего года сообщалось об опасной уязвимости в ядре Linux, позволявшей локальному пользователю повысить свои привилегии на системе и модифицировать любой файл, который он может прочитать. Как выяснилось позже, проблема, получившая название Dirty COW, затрагивает не только версии Linux, начиная с 3.6, но и все версии ОС Android. В октябре 2016 года исследователь Дэвид Манучери (David Manouchehri) опубликовал на GitHub PoC-эксплоит для уязвимости Dirty COW, который может использоваться для получения прав суперпользователя на устройствах под управлением Android. Месяцем позже Google выпустила патч, устраняющий проблему.
Спустя почти год после обнаружения Dirty COW эксперты компании TrendMicro заметили первое вредоносное ПО для Android, получившее название ZNIU, которое эксплуатирует данную уязвимость для получения доступа с правами суперпользователя к устройству и внедрения бэкдора, предназначенного для сбора информации об инфицированных гаджетах. На основании полученных данных злоумышленники определяют объект атаки. В случае, если пользователь находится в Китае, атакующие используют доступ к устройству для оформления премиум SMS-подписки на услуги одной из местных компаний.
Эксперты выявили свыше 1,2 тыс. инфицированных ZNIU приложений на различных сайтах. По большей части это приложения на игровую и порнотематику. Жертвами вредоноса стали пользователи в 40 странах мира, в основном в Китае, Индии, США, Японии, Канаде и Индонезии. Исследователи выявили порядка 5 тыс. инфицированных устройств, но, по их словам, число затронутых пользователей может быть значительно больше.
Как отмечают специалисты, используемый ZNIU эксплоит для Dirty COW несколько отличается от обнародованного в минувшем году. Эксплоит работает только на Android-устройствах с 64-разрядной архитектурой ARM/X86. В случае, если мобильное устройство работает на базе 32-разрядного процессора, ZNIU использует приложение KingoRoot и эксплоит Iovyroot для получения доступа с правами суперпользователя к гаджету.
Полный список инфицированных ZNIU приложений опубликован здесь.
KingoRoot - приложение для получения прав суперпользователя на Android-смартфонах и планшетах.