خبرهای مهم:

تاریخ امروز برابر است با [ شنبه ۲۵ آذر ۱۳۹۶ ]

یک سال پس از افشای آسیب پذیری Dirty COW که کرنل لینوکس رو تحت تاثیر قرار داده بود، هکرها حالا شروع به استفاده و بهره برداری از این آسیب پذیری در برابر کاربران آندرویدی کرده اند.

 

 

آسیب پذیری Dirty COW در ماه اکتبر سال پیش افشا شد که خودش رو در بخشی از کرنل لینوکس که شامل Red Hat، Debian و Ubuntu می شد، جای داده بود و در فضای اینترنتی مورد بهره برداری قرار می گرفت.

این آسیب پذیری به مهاجم اجازه میده که از طریق یک race condition، به ریشه(Root) و به این شکل به فایل های در دسترس ریشه نیز دست پیدا کرده و از طریق راه دور به آن ها حمله کند.

با این حال محققان امنیتی شرکت Trend Micro در روز دوشنبه پستی رو در سایتشون منتشر کردند که نشون میده آسیب پذیری (CVE-2016-5195) که با نام Dirty COW شناخته میشه، توسط یک نمونه بدافزاری ZNIU با نام AndroidOS_ZNIU مورد بهره برداری قرار گرفته است.

این اولین باری است که با یک نمونه بدافزاری برخورد می کنیم که برای بهره برداری از یک آسیب پذیری که در سازش با پلتفورم تلفن های همراه طراحی شده است، عمل می کند.

 

کشف بهره برداری Dirty COW در بیش از ۱۲۰۰ اپلیکیشن آندرویدی

بدافزار ZNIU از آسیب پذیری Dirty COW برای روت کردن دستگاه های آندرویدی از طریق مکانیزم copy-on-write (COW) واقع در کرنل لینوکسی آندروید استفاده و اقدام به نصب یک درب پشتی می کنه که بعدها هکرها به وسیله اون می توانند اطلاعات رو جمع آوری و از طریق یک خط تلفن، اقدام به تولید سود و درآمد بکنند.

محققان امنیتی بدافزار ZNIU رو در بیش از ۱۲۰۰ اپلیکیشن مخرب آندرویدی پیدا کرده اند.

درحالی که نقص Dirty COW بر روی تمامی ورژن های سیستم عامل آندروید تاثیر می گذارد، بهره برداری ZNIU فقط دستگاه های آندرویدی شامل سیستم ARM/X86 64-bit رو در بر می گیرد.

 

شیوه بهره برداری ZNUI :

وقتی که اپلیکیشن حاوی بدافزار ZNUI رو دانلود و نصب می کنید، این اپلیکیشن از طریق سرور های Command and Control به دنبال کدهای بروزرسانی میگرده و در همین حال، بهره برداری Dirty COW نیز دسترسی root رو بر روی دستگاه به دست میگیره، محدودیت های سیستم رو دور میزنه و اقدام به نصب درب پشتی برای حملات آتی می کنه.

 

 

این بدافزار همچنین اطلاعات شغلی فرد رو می دزده و سعی می کنه با استفاده از سرویس های premium پیام کوتاه، مبلغی رو به سرورهای ساختگیش در چین منتقل کنه. بعد از انجام این معاملات، بدافزار تمامی پیام ها رو پاک می کنه تا هیچگونه مدرکی بر جای نگذارد.

محققان بر این باورند که این بدافزار تا حالا ۵هزار کاربر آندرویدی رو در چهل کشور مختلف مورد حمله قرار داده است.

گوگل یک بروزرسانی رو منتشر کرده که علاوه بر رفع چند نقص دیگر، نقص Dirty COW رو نیز برطرف کرده است.

 

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*