کمیته رکن چهارم – محققان امنیتی هشدار دادند که تقریبا یک سال پس از افشای آسیبپذیری گاو کثیف در هستهی لینوکس، مهاجمان سایبری بهرهبرداری از این آسیبپذیری علیه کاربران اندروید را آغاز کردند. آسیبپذیری گاو کثیف در بخشهایی از هستهی لینوکس وجود داشته و در اکتبر سال گذشته بهطور عمومی افشاء شده و در حملات دنیای واقعی مورد بهرهبرداری قرار میگیرد.
این آسیبپذیری به یک کاربر محلی و بدون امتیاز اجازه میدهد با سوءاستفاده از یک شرایط رقابتی به دسترسیهای ریشه رسیده و به پروندههای اجرایی ریشه و فقط-خواندنی دسترسی داشته و حملات راه دور خود را انجام دهد. محققان امنیتی ترندمیکرو روز دوشنبه در یک پست وبلاگی توضیح دادند که آسیبپذیری گاو کثیف با شناسهی CVE-۲۰۱۶-۵۱۹۵ توسط یک بدافزار اندرویدی با نام ZNIU مورد بهرهبرداری قرار میگیرد. این اولین باری است که مشاهده میکنیم یک بدافزار اندرویدی طوری طراحی شده تا از یک آسیبپذیری در دستگاههای اندروید بهرهبرداری کند.
کد بهرهبرداری از آسیبپذیری گاو کثیف، در ۱۲۰۰ برنامهی کاربردی اندروید کشف شده است
بدافزار از این آسیبپذیری بهرهبرداری کرده و دستگاه اندروید را با استفاده از سازوکار COW در هستهی لینوکس روت کرده و یک درب پشتی بر روی دستگاه نصب میکند که در آینده با استفاده از این درب پشتی میتواند به جمعآوری اطلاعات پرداخته و با استفاده از تماسهای هزینهدار، سود زیادی به جیب بزند. محققان ترند میکرو بدافزار ZNIU را بر روی ۱۲۰۰ برنامهی کاربردی اندروید شناسایی کردند که در یک وبگاه مخرب میزبانی میشدند. در این وبگاه مخرب یک روتکیت نیز برای بهرهبرداری از آسیبپذیری گاو کثیف میزبانی میشد. هرچند که آسیبپذیری گاو کثیف تمامی نسخههای اندروید را تحت تاثیر قرار میدهد ولی بدافزار ZNIU بر روی دستگاههای اندروید ۶۴ بیتی با معماری ARM/X۸۶ میتواند از این آسیبپذیری بهرهبرداری کند. بهرهبرداری اخیر میتواند SELinux را دور زده و درب پشتی را بر روی دستگاه قربانی قرار دهد.
بهرهبرداری بدافزار ZNIU از آسیبپذیری گاو کثیف چگونه کار میکند؟
بدافزار ZNIU پس از بارگیری و نصب بر روی دستگاه قربانی، با کارگزار دستور و کنترل ارتباط برقرار کرده و بهروزرسانی کدها را بررسی میکند. این بدافزار همچنین اطلاعات حاملها را بدست آورده و تلاش میکند پرداختها را با پیامکهای هزینهدار به یک شرکت کلاهبرداری در چین هدایت کند. پس از ارسال پیامک، بدافزار برای پاک کردن شواهد، این پیام را از دستگاه قربانی حذف میکند.
محققان امنیتی کشف کردند این بدافزار در هفتههای اخیر نزدیک به ۵ هزار دستگاه را در ۴۰ کشور آلوده کرده که بیشتر قربانیان در کشورهای چین و هندوستان قرار دارند و دیگر قربانیان در آمریکا، ژاپن، کانادا، آلمان و اندونزی ساکن هستند. شرکت گوگل در بهروزرسانیهای امنیتی خود برای اندروید، آسیبپذیری گاو کثیف را نیز وصله کرده و به کاربران اطمینان داده که ویژگی Play Protect از آنها در برابر چنین بدافزارهایی حفاظت میکند. تنها راه برای شما برای در امان ماندن از چنین بدافزارهایی این است که از بازارهای ثالث برنامه بارگیری و نصب نکرده و به فروشگاه گوگلپلی اکتفا کنید.
منبع : news.asis.io
