去年10月公开披露的“脏牛”出现在Linux内核的一部分,几乎所有Linux发行版的一部分,包括Red Hat、Debian和Ubuntu,多年来,它一直在野外被积极开发。

该漏洞允许未经授权的本地攻击者通过竞争条件问题获得根用户访问权限,获得对只读根用户拥有的可执行文件的访问权限,并允许远程攻击。

然而,趋势科技(Trend Micro)的安全研究人员周一发布了一篇博客文章,披露称被称为“脏牛”(Dirty COW)的特权升级漏洞(CVE-2016-5195)目前已被检测为AndroidOS_ZNIU的ZNIU恶意软件样本积极利用。

这是我们第一次看到恶意软件样本包含针对该漏洞的攻击,该漏洞旨在危害移动平台上运行的设备。

在1200多个Android应用程序中发现了这种肮脏的牛攻击

该恶意软件利用Dirty COW漏洞,通过Android Linux内核中的写时拷贝(COW)机制来根除Android设备,并安装后门,然后攻击者可以利用后门收集数据,并通过高费率电话号码赚取利润。

Trend Micro的研究人员在1200多个恶意Android应用程序中检测到了ZNIU恶意软件,其中一些伪装成色情和游戏应用,主机网站中包含利用Dirty Cow进行攻击的恶意软件rootkit。

尽管Dirty Cow漏洞会影响所有版本的Android操作系统,但ZNIU的Dirty Cow漏洞只会影响采用ARM/X86 64位体系结构的Android设备。然而,最近的漏洞可用于绕过SELinux和工厂后门。

研究人员说:“我们监控了六个ZNIU rootkit,其中四个是脏牛攻击。另外两个是KingoRoot,一个rooting应用程序,以及Iovyroot攻击(CVE-2015-1805)”。“ZNIU使用了KingoRoot和Iovyroot,因为它们可以为32位CPU设备提供根处理器,而Dirty COW的根工具包则不能”。

以下是ZNIU利用肮脏奶牛的方式

下载并安装后,ZNIU恶意软件携带应用程序与其命令和控制(C&C)服务器通信,以检查代码更新,同时Dirty Cow攻击提供本地权限升级,以获得设备上的根访问权限,绕过系统限制和为未来潜在的远程控制攻击设置后门”。

该恶意软件还获取用户的运营商信息,并试图通过指向中国一家虚拟公司的优质短信发送付款。

一旦短信交易结束,恶意软件还会删除设备上的信息,以清除任何泄露的证据。

研究人员发现,最近几周,该恶意软件已经感染了40个国家的5000多名安卓用户,其中大多数受害者在中国和印度,而其他受害者则居住在美国、日本、加拿大、德国和印度尼西亚。

谷歌发布了安卓系统的更新,其中包括官方修复的脏牛漏洞。这家科技巨头还证实其玩保护游戏现在可以保护Android用户免受这种恶意软件的攻击。

防止自己成为此类聪明恶意软件的目标的最简单方法是避免从第三方来源下载应用程序,并始终坚持使用官方的Google Play商店。