示意圖,與新聞事件無關。

趨勢科技(Trend Micro)在本周揭露了首個利用Dirty Cow漏洞的Android惡意程式家族—ZNIU,指出已有超過30萬款Android程式夾帶ZNIU,至少已於全球逾40個市場感染超過5000名Android用戶。

Dirty Cow為一藏匿於Linux核心的權限擴張漏洞,可允許駭客取得被駭系統的最高權限,雖然自2007年釋出的2.6.22版便已存在,但一直到去年10月才曝光,包括Linux、 Red Hat、Ubuntu、Debian與基於Linux的Android在去年皆已陸續修補該漏洞。

然而,趨勢科技近日才發現駭客鎖定Android平台上的Dirty Cow漏洞展開攻擊,猜測駭客花了許多時間來打造可靠的攻擊程式。

ZNIU通常以散布在各個惡意網站的色情程式作為媒介,安裝後它就會與遠端的C&C伺服器展開通訊,開採Dirty Cow漏洞的ZNIU在擴張權限後就能突破系統限制以植入後門,以替未來的遠端攻擊舖路。

鎖定Dirty Cow的攻擊過程,先在惡意網站埋伏,待下載至使用者的Android裝置後開採Dirty Cow漏洞,連接C&C伺服器更新惡意程式,並竊取資料,再假冒用戶的身份和電信商交易謀利,竄改裝置上的資料:(來源:趨勢科技)

其中一個發生在中國市場的案例是ZNIU取得了裝置用戶的電信營運商資訊,並利用基於簡訊的支付服務與營運商交易,諸如訂閱各種捏造的服務,然後把款項轉至虛設的公司。在交易完畢後,ZNIU還會刪除裝置上的交易簡訊內容,以毀屍滅跡。趨勢科技只在中國看到此一手法,其他市場的ZNIU目前只於裝置上植入後門。

目前多數的ZNIU受害者位於中國與印度,但美國、日本、加拿大、德國與印尼也都有ZNIU的蹤跡。


Advertisement

更多 iThome相關內容