Nguyễn Phú Trọng » An ninh Quốc phòng – Biển Đảo » Mã độc Android ZNIU khai thác lỗ hổng Dirty COW

(Không gian mạng) - Các nhà nghiên cứu Trend Micro (Nhật) cảnh báo phát hiện một mã độc Android gần đây đang khai thác lỗ hổng khét tiếng Dirty COW.

Mã độc mang tên ZNIU, khai thác lỗ hổng Dirty COW từng bị phát hiện cách đây 1 năm.

Lỗ hổng Dirty COW có số hiệu CVE-2016-5195, được tiết lộ vào tháng 10/2016. Đây là một lỗ hổng nghiêm trọng 9 năm tuổi được phát hiện trên lõi kernel của hệ điều hành Linux, từng được tìm thấy trên các thiết bị Android và được Google phát hành bản vá vào tháng 12/2016 trong chương trình cung cấp bản cập nhật bảo mật hàng tháng của hãng.

Mặc dù các thiết bị Android có cập nhật bản vá 2016-11-06 đều được an toàn trước Dirty COW, nhưng Trend Micro vào đầu tháng 12 từng cảnh báo lỗ hổng này có thể bị tin tặc lợi dụng để viết mã độc đưa trực tiếp vào các tiến trình. Họ cũng lưu ý lỗ hổng có thể bị tấn công theo những cách thức mới.

Mã độc Android ZNIU khai thác lỗ hổng Dirty COW

Mã độc Android ZNIU khai thác lỗ hổng Dirty COW

Hiện tại, ZNIU được cho là dòng mã độc đầu tiên sử dụng lỗ hổng này trên nền tảng Android. ZNIU được phát hiện có mặt trong cuộc tấn công ở hơn 40 quốc gia vào tháng 08/2017, chủ yếu tập trung vào Trung Quốc và Ấn Độ.

Các nhà nghiên cứu cho biết hơn 5.000 người dùng đã bị nhiễm ZNIU, với Mỹ, Nhật Bản, Canada, Đức và Indonesia nằm trong số các quốc gia bị ảnh hưởng nhiều nhất. Bên cạnh đó, các nhà nghiên cứu cũng phát hiện ZNIU ngụy trang dưới “hơn 1.200 ứng dụng độc hại” trong các trang web độc xuất hiện cùng với bộ công cụ (rootkit) khai thác Dirty COW”.

Mã khai thác Dirty COW chỉ hoạt động trên các thiết bị Android có cấu ​​trúc 64-bit ARM/X86, nhưng được thiết kế để vượt qua SELinux và cài đặt backdoor. 04 trong số sáu bộ công cụ ZNIU mà các nhà nghiên cứu để mắt đến là những bộ công cụ khai thác Dirty COW, 02 bộ công cụ còn lại là KingoRoot và Iovyroot (có thể root các thiết bị CPU ARM 32-bit).

ZNIU thường giả mạo là một ứng dụng khiêu dâm. Sau khi cài đặt, nó thiết lập liên lạc với máy chủ ra lệnh và điều khiển (C&C) của tin tặc và cập nhật để tự nâng cấp phiên bản mới cho chính nó. Nó cũng tải về các rootkit thích hợp từ máy chủ từ xa và sử dụng chúng để leo thang đặc quyền và tải một backdoor vào máy nạn nhân để phục vụ cho các cuộc tấn công tiềm năng.

ZNIU bị phát hiện sử dụng mã hóa khi liên lạc với máy chủ. Các nhà nghiên cứu xác định tên miền và máy chủ lưu trữ này được đặt tại Trung Quốc.

ZNIU thu thập thông tin về nhà cung cấp của thiết bị và tìm cách tương tác với nhà cung cấp dịch vụ qua các dịch vụ thanh toán bằng tin nhắn SMS. Do đó, các nhà khai thác mã độc có thể thu tiền của nạn nhân thông qua dịch vụ này. Tuy nhiên, các giao dịch SMS như vậy chỉ có thể được thực hiện đối với các nhà cung cấp ở Trung Quốc, nghĩa là, nếu các thiết bị ngoài Trung Quốc, ZNIU chỉ có thể cài đặt backdoor.

Gia Cát Linh (dịch từ Security Week)

Úc thành lập trung tâm nghiên cứu an ninh mạng mới

Úc thành lập trung tâm nghiên cứu an ninh mạng mới

Chính phủ Úc đang có kế hoạch thành lập một trung tâm hợp tác nghiên cứu về an ninh mạng, với tuyên bố đầu tư 40 triệu USD. Cụ thể, Trung tâm Hợp tác Nghiên cứu An ninh mạng (Cyber Security Co-operative...
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: