首個鎖定Dirty Cow漏洞的Android惡意程式現身

趨勢科技（Trend Micro）在本周揭露了首個利用Dirty Cow漏洞的Android惡意程式家族—ZNIU，指出已有超過30萬款Android程式夾帶ZNIU，至少已於全球逾40個市場感染超過5000名Android用戶。

Dirty Cow為一藏匿於Linux核心的權限擴張漏洞，可允許駭客取得被駭系統的最高權限，雖然自2007年釋出的2.6.22版便已存在，但一直到去年10月才曝光，包括Linux、 Red Hat、Ubuntu、Debian與基於Linux的Android在去年皆已陸續修補該漏洞。

然而，趨勢科技近日才發現駭客鎖定Android平台上的Dirty Cow漏洞展開攻擊，猜測駭客花了許多時間來打造可靠的攻擊程式。

ZNIU通常以散布在各個惡意網站的色情程式作為媒介，安裝後它就會與遠端的C&C伺服器展開通訊，開採Dirty Cow漏洞的ZNIU在擴張權限後就能突破系統限制以植入後門，以替未來的遠端攻擊舖路。

鎖定Dirty Cow的攻擊過程，先在惡意網站埋伏，待下載至使用者的Android裝置後開採Dirty Cow漏洞，連接C&C伺服器更新惡意程式，並竊取資料，再假冒用戶的身份和電信商交易謀利，竄改裝置上的資料：（來源：趨勢科技）

其中一個發生在中國市場的案例是ZNIU取得了裝置用戶的電信營運商資訊，並利用基於簡訊的支付服務與營運商交易，諸如訂閱各種捏造的服務，然後把款項轉至虛設的公司。在交易完畢後，ZNIU還會刪除裝置上的交易簡訊內容，以毀屍滅跡。趨勢科技只在中國看到此一手法，其他市場的ZNIU目前只於裝置上植入後門。

目前多數的ZNIU受害者位於中國與印度，但美國、日本、加拿大、德國與印尼也都有ZNIU的蹤跡。