推奨されます, 2024

エディターズチョイス

汚い牛の脆弱性:ZNIUがAndroidを攻撃するためにそれをどのように使用しているか

Linuxはオープンソースプロジェクトなので、何千人ものユーザーが積極的に同じものをチェックして修正しているため、そのソースコードにセキュリティ上の欠陥を見つけるのは困難です。 この予防的なアプローチにより、欠陥が発見された場合でも、直ちにパッチが適用されます。 これが、昨年9年間ですべてのユーザーの厳格なデューデリジェンスを免れた昨年のエクスプロイトが発見されたとき、それがとても驚いた理由です。 はい、あなたはそれを正しく読みます、この攻撃は2016年10月に発見されましたが、過去9年間、Linuxカーネルコードの中に存在していました。 この種の脆弱性は特権昇格のバグの一種で、Dirty Cowの脆弱性として知られています(Linuxカーネルのバグカタログ番号 - CVE-2016-5195)。

この脆弱性は発見されて1週間後にLinuxにパッチを適用されましたが、すべてのAndroidデバイスをこの脆弱性に対して脆弱なままにします(AndroidはLinuxカーネルをベースにしています)。 2016年12月にパッチ適用されたAndroidは、Androidエコシステムの細分化された性質のため、アップデートを受けておらず脆弱なままのAndroidデバイスが多数あります。 さらに恐ろしいのは、ZNIUと名付けられた新しいAndroidマルウェアが、Dirty Cowの脆弱性を悪用してわずか2、3日前に発見されたことです。 この記事では、Dirty Cowの脆弱性と、それがZNIUマルウェアによってAndroidで悪用されている方法について詳しく説明します。

汚い牛の脆弱性とは何ですか?

前述のように、Dirty Cowの脆弱性は、 スーパーユーザー特権を誰にでも付与するために使用される可能性がある一種の特権昇格エクスプロイトです。 基本的に、この脆弱性を利用することにより、悪意を持ったユーザーは誰でも自分自身にスーパーユーザー特権を与えることができ、それによって被害者のデバイスへの完全なrootアクセスを持ちます。 被害者のデバイスへのルートアクセス権を取得すると、攻撃者はそのデバイスを完全に制御できるようになり、ユーザーが賢くなることなく、デバイスに保存されているすべてのデータを抽出できます。

ZNIUとは何ですか?

ZNIUは、Dirty Cowの脆弱性を利用してAndroidデバイスを攻撃している、Android用に最初に記録されたマルウェアです。 このマルウェアはDirty Cowの脆弱性を利用して、被害者のデバイスへのrootアクセスを取得します。 現在、このマルウェアは1200を超える成人向けゲームおよびポルノ用アプリに隠れていることが検出されています。 この記事を公開した時点で、50か国、5000人以上のユーザーがこの記事の影響を受けています。

どのAndroidデバイスがZNIUに脆弱であるのですか?

2016年10月にDirty Cowの脆弱性が発見された後、Googleは2016年12月にこの問題を解決するためのパッチを公開しました。 ただし、 パッチはAndroid KitKat(4.4)以上で実行されているAndroidデバイス用にリリースされました 。 GoogleによるAndroid OSディストリビューションの分割によると、Androidスマートフォンの8%以上がまだAndroidのより低いバージョンで動作しています。 Android 4.4からAndroid 6.0(Marshmallow)で動作しているデバイスのうち、それらのデバイス用の12月のセキュリティパッチを適用してインストールしたデバイスだけが安全です。

それは悪用される可能性がある多くのAndroidデバイスです。 しかし、ZNIUが幾分修正されたバージョンのDirty Cow脆弱性を使用しているため、 ARM / X86 64ビットアーキテクチャを使用しているAndroidデバイスに対してのみ成功することがわかっています。 それでも、あなたがAndroidの所有者であれば、12月のセキュリティパッチをインストールしたかどうかをチェックするのが良いでしょう。

ZNIU:どのように動作しますか?

ユーザーがZNIUマルウェアに感染した悪質なアプリをダウンロードした後、アプリを起動すると、 ZNIUマルウェアは自動的にCommand and Control(C&C)サーバーにアクセスして接続し、利用可能な場合はアップデートを入手します。 自分自身を更新した後、それは被害者のデバイスへのrootアクセスを得るために特権昇格(Dirty Cow)エクスプロイトを使用します。 デバイスへのrootアクセス権があると、デバイスからユーザーの情報を取得します

現在、このマルウェアはユーザー自身を装って、被害者のネットワークキャリアに連絡するためにユーザー情報を使用しています。 認証されると、 SMSベースのマイクロトランザクションが実行され、運送業者の支払いサービスを通じて支払いが行われます。 このマルウェアは、トランザクションが発生した後にデバイスからすべてのメッセージを削除するのに十分なインテリジェント性があります。 したがって、被害者は取引については知りません。 通常、取引はごくわずかな金額(月3ドル)で行われます。 これは、被害者が口座振替を発見しないようにするために攻撃者が取った別の予防策です。

取引を追跡した後、 お金は中国に拠点を置くダミー会社に移されたことがわかった。 キャリアベースの取引は国際的に送金することを許可されていないため、中国で影響を受けるユーザーだけがこれらの違法取引に苦しむことになります。 しかし、中国国外のユーザーは依然としてマルウェアを自分のデバイスにインストールしているため、リモートからいつでもアクティブにすることができるため、潜在的な標的となる可能性があります。 国際的な被害者が違法な取引に苦しんでいなくても、バックドアは攻撃者にデバイスにより多くの悪意のあるコードを注入する機会を与えます。

ZNIUマルウェアからあなた自身を救う方法

私たちはあなたのAndroidデバイスをマルウェアから保護することに関する全体の記事を書きました。あなたはここをクリックすることによって読むことができます。 基本的なことは常識を使用し、信頼できないソースからアプリをインストールしないことです。 ZNIUマルウェアの場合でも、信頼できない開発者によって作成されたポルノまたはアダルトゲームのアプリケーションをインストールすると、被害者の携帯にマルウェアが配信されることがわかりました。 この特定のマルウェアから保護するには、お使いのデバイスがGoogleからの最新のセキュリティパッチを適用していることを確認してください。 このエクスプロイトはGoogleの12月(2016)セキュリティパッチで修正されているため、そのパッチをインストールしている人は誰でもZNIUマルウェアから安全です。 それでも、OEMによっては、アップデートを受け取っていない可能性があるため、すべてのリスクを認識し、必要な予防措置を講じることをお勧めします。 繰り返しますが、デバイスがマルウェアに感染するのを防ぐためにすべきこと、すべきではないことのすべてが、上記のリンク先の記事に記載されています。

マルウェアに感染しないようにAndroidを保護する

ここ数年で、Androidに対するマルウェア攻撃が増加しています。 Dirty Cowの脆弱性はこれまでに発見された中で最大の悪用の1つであり、ZNIUがこの脆弱性をどのように悪用しているかを見ることは恐ろしいことです。 ZNIUは、それが影響を与えるデバイスの範囲、および攻撃者に付与する自由な制御のために特に心配です。 ただし、問題を認識しており、必要な予防措置を講じている場合、デバイスはこれらの潜在的に危険な攻撃から安全になります。 そのため、最初にGoogleから最新のセキュリティパッチを入手したらすぐにそれらを更新し、次に信頼できない不審なアプリケーション、ファイル、およびリンクから遠ざけてください。 マルウェア攻撃からデバイスを保護するために何をすべきだと思いますか。 以下のコメント欄にそれらをドロップすることによって、主題に関するあなたの考えを教えてください。

Top