首次發現安卓惡意軟件利用Dirty COW Linux漏洞獲取根權限

去年10月公開披露的“臟牛”出現在Linux內核的一部分，幾乎所有Linux發行版的一部分，包括Red Hat、Debian和Ubuntu，多年來，它一直在野外被積極開發。

該漏洞允許未經授權的本地攻擊者通過競爭條件問題獲得根用戶訪問權限，獲得對只讀根用戶擁有的可執行文件的訪問權限，并允許遠程攻擊。

然而，趨勢科技（Trend Micro）的安全研究人員周一發布了一篇博客文章，披露稱被稱為“臟牛”（Dirty COW）的特權升級漏洞（CVE-2016-5195）目前已被檢測為AndroidOS_ZNIU的ZNIU惡意軟件樣本積極利用。

這是我們第一次看到惡意軟件樣本包含針對該漏洞的攻擊，該漏洞旨在危害移動平臺上運行的設備。

在1200多個Android應用程序中發現了這種骯臟的牛攻擊

該惡意軟件利用Dirty COW漏洞，通過Android Linux內核中的寫時拷貝（COW）機制來根除Android設備，并安裝后門，然后攻擊者可以利用后門收集數據，并通過高費率電話號碼賺取利潤。

Trend Micro的研究人員在1200多個惡意Android應用程序中檢測到了ZNIU惡意軟件，其中一些偽裝成色情和游戲應用，主機網站中包含利用Dirty Cow進行攻擊的惡意軟件rootkit。

盡管Dirty Cow漏洞會影響所有版本的Android操作系統，但ZNIU的Dirty Cow漏洞只會影響采用ARM/X86 64位體系結構的Android設備。然而，最近的漏洞可用于繞過SELinux和工廠后門。

研究人員說：“我們監控了六個ZNIU rootkit，其中四個是臟牛攻擊。另外兩個是KingoRoot，一個rooting應用程序，以及Iovyroot攻擊（CVE-2015-1805）”。“ZNIU使用了KingoRoot和Iovyroot，因為它們可以為32位CPU設備提供根處理器，而Dirty COW的根工具包則不能”。

以下是ZNIU利用骯臟奶牛的方式

下載并安裝后，ZNIU惡意軟件攜帶應用程序與其命令和控制（C&C）服務器通信，以檢查代碼更新，同時Dirty Cow攻擊提供本地權限升級，以獲得設備上的根訪問權限，繞過系統限制和“為未來潛在的遠程控制攻擊設置后門”。

該惡意軟件還獲取用戶的運營商信息，并試圖通過指向中國一家虛擬公司的優質短信發送付款。

一旦短信交易結束，惡意軟件還會刪除設備上的信息，以清除任何泄露的證據。

研究人員發現，最近幾周，該惡意軟件已經感染了40個國家的5000多名安卓用戶，其中大多數受害者在中國和印度，而其他受害者則居住在美國、日本、加拿大、德國和印度尼西亞。

谷歌發布了安卓系統的更新，其中包括官方修復的臟牛漏洞。這家科技巨頭還證實其玩保護游戲現在可以保護Android用戶免受這種惡意軟件的攻擊。

防止自己成為此類聰明惡意軟件的目標的最簡單方法是避免從第三方來源下載應用程序，并始終堅持使用官方的Google Play商店。