Dirty COW漏洞橫行,Android惡意程式ZNIU會偷偷訂閱付費服務

Dirty COW漏洞橫行,Android惡意程式ZNIU會偷偷訂閱付費服務

ADVERTISEMENT

Dirty COW是Linux作業系統上的資安漏洞,雖然距離它被發現已經有很長的時間,但是這次出現的ZNIU,卻是第一個利用該漏洞的惡意程式。ZNIU主要的感染途徑是透過植入惡意程式的App入侵設備,並在執行過程中透過遠端C&C伺服器竊取資料或訂閱付費服務。

竟有12年歷史

Dirty COW(為Dirty copy-on-write的縮寫)是個Linux作業系統的資安漏洞,它主要的運作方式是透過檔案寫入時發生的競爭條件(Race Condition,指2個程式同時存取1個檔案,而發生衝突),將記憶體中唯讀區塊轉變為可寫入區塊,如此一來便可以竄改記憶體中的資料。

雖然Dirty COW是個本機端的漏洞,但是仍可併用其他攻擊手法,從遠端觸發漏洞,並進一步取得Root層級的管理員權限,進而取得整個系統的控制權。

Linux的開發者Linus Torvalds在2016年就表示他在11年前就知道Dirty COW漏洞的存在,但是卻因在修正的過程中遇到問題而沒有完成,而Dirty COW最初出現於2007年推出的Linux 2.6.22。

Dirty COW的問題到了2016年時才真正被修復並公諸於世,包括Ubuntu 16.10、16.04 LTS、14.04 LTS、12.04 LTS,以及Debian 7、Debian 8、ArchLinux 4.8.3、Red Hat Enterprise Linux 6.x等作業系統等都推出對應的修正檔,但是同樣以Linux為基礎的作業系統Android,卻還曝露在風險之下。

Dirty COW漏洞橫行,Android惡意程式ZNIU會偷偷訂閱付費服務

▲Dirty COW是個能讓攻擊者取得管理員權限的資安漏洞。

超過1,200款App中槍

在Dirty COW被揭露之後,Android作業系統雖然沒有立即傳出災情,但是在潛伏1年之後,被稱為ZNIU的惡意程式開始在Android裝置間流傳。根據資安廠商Trend提供的報告,ZNIU已經被植入超過1,200款App中,並在超過美國、日本、加拿大、德國、印尼、中國、印度等40多個國家間流竄,其中以中國與印度災情最為嚴重。

ZNIU大多夾雜在色情App中,引誘受害者透過惡意網站下載,當受害者安裝並啟動App之後,ZNIU就會連接至遠端C&C(Command and Ccontrol,指令與控制)伺服器,並在裝置上安裝木馬程式。此後惡意程式會竊取裝置的電信商資訊,並透過簡訊小額付費機制進行轉帳,並在轉帳後刪除訊息。

ZNIU會使用上述方式,自動訂閱金額約為每月人民幣20元的包月服務,以避免金額太大而驚動到受害者。然而根據Trend研究人員的分析,可以追蹤到ZNIU的收款單位位於中國境內,所以當裝置並非使用屬於中國的電信商時,就不會被詐取款項,但是裝置仍會被植入木馬程式。

關於防範ZNIU的最佳方式,就是只在由Google提供的Play網路商店,或是其他可信任的第三方市集下載App,而不要從其他管道安裝來路不明的App,並密切關注Android裝置廠商是否提供對應的更新檔,以杜絕ZNIU所造成的危害。

Dirty COW漏洞橫行,Android惡意程式ZNIU會偷偷訂閱付費服務

▲ZNIU會透過App入侵裝置,並植入木馬程式。(圖片來源:Trend,下同)

Dirty COW漏洞橫行,Android惡意程式ZNIU會偷偷訂閱付費服務

▲ZNIU會透過訂閱包月服務的方式詐領款項。

國寶大師 李文恩
作者

電腦王特約作者,專門負責硬派內容,從處理器、主機板到開發板、零組件,尖端科技都一手包辦,最近的研究計畫則包括Windows 98復活與AI圖像生成。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則