高危漏洞｜首例利用“脏牛漏洞”的安卓恶意软件预警

近日，亚信安全截获首例利用“脏牛漏洞”（Dirty COW）的安卓平台恶意软件ZNIU，该恶意软件的影响范围已经超过40个国家，受影响的用户超过5000名。大多数受害者来自中国和印度的安卓用户，美国、日本、加拿大、德国和印度尼西亚也发现了感染案例。同时我们在各种恶意 站上发现有超过1200多种携带ZNIU的恶意应用程序，这些恶意程序通常都会伪装成色情和游戏软件。亚信安全将其命名为AndroidOS_ZNIU。

“脏牛漏洞“简介

“脏牛漏洞“（CVE-2016-5195）于2016年首次公开披露，该漏洞影响Redhat和Android等基于Linux内核的系统。该漏洞被认定为严重的提权漏洞，允许攻击者在目标系统上获得root访问权限。该漏洞发现近一年后，我们截获了第一个利用该漏洞的安卓恶意软件ZNIU。

ZNIU传播方式

ZNIU恶意程序通常都会伪装成色情和游戏软件，并通过恶意的 站进行传播。

图1：携带ZNIU代码的色情程序

去年，我们曾经研究“脏牛漏洞”PoC发现所有版本的Android操作系统都易受该漏洞的影响，虽然此次发现的ZNIU恶意程序仅仅适用于ARM x86的64位架构的Android设备，但是ZNIU恶意程序可以绕过SELinux并植入root后门程序。

感染流程

ZNIU恶意软件通常出现在恶意 站的色情应用程序中，诱骗用户点击URL下载并安装恶意应用程序。一旦启动，ZNIU将与其C&C服务器进行通信，如果有可用更新，其会从C&C服务器检索并将其加载到系统中。同时，“脏牛漏洞”用于本地特权提升，并为将来远程控制攻击生成后门程序。

图2：ZNIU感染流程

感染设备后，ZNIU恶意软件收集用户的运营商信息，接下来，ZNIU的操纵者将冒充受害者通过SMS支付服务与运营商进行交易，利用受害者移动设备，通过运营商的支付服务来“吸金”。我们还发现，受害者支付的所有资金都落入了攻击者的账户（位于中国某城市的一个虚拟公司）。

当SMS交易结束后，该恶意软件会从设备中删除相关信息，从而抹去运营商与该恶意软件操纵者之间的交易痕迹。如果运营商位于境外，ZNIU不会与运营商进行短信交易，但其仍然会在系统中植入后门。

图3：恶意软件发送给运营商的交易请求

基于大量样本的分析，该恶意软件仅针对中国运营商的用户。虽然该恶意软件操纵者可以设置更高的交易金额，从而捞更多的钱，但是为了避免被用户发现，其每一笔交易金额都是很少的（每月20元或3美元）。

图4：SMS订阅信息截图

对于安卓操作系统来说，当授予其他应用程序访问设备的SMS权限时，会强制用户介入，所以ZNIU需要root权限才能实现其计划任务，安装后门程序并远程加载其他恶意代码，从而继续从受害者那里获利。

ZNIU Rootkit技术细节

ZNIU rootkit可以通过一个独立的广播收音机软件集成到恶意应用程序中。

图5：通过 络激活ZNIU代码

该恶意软件无需更改其它组件，便可以轻松地将rootkit注入第三方应用程序，这种做法将有助于进行大规模的传播。

经过深入分析我们发现，恶意软件操纵者加密了ZNIU的DEX代码，以对抗静态逆向工程。 一旦用户将设备连接到 络或插入电源，该恶意软件使用广播收音机软件激活漏洞利用代码，然后，直接传输并执行本地恶意代码。

图6：ZNIU的本地代码

ZNIU的本地代码的主要功能如下：

1.收集设备的型 信息；

2.从远程服务器下载适当的rootkit；

3.解密漏洞利用代码；

4.逐个触发各漏洞利用代码，检查结果并删除漏洞利用文件。

5. 告漏洞利用代码的运行是否成功。

图7：ZNIU的 络活动

经过研究，我们还发现远程利用代码服务器的URL以及客户端和服务器之间的通信都经过了加密处理。使用字符串解密后，我们发现该恶意漏洞利用代码服务器的主机和域名都位于我国境内。

图8：漏洞利用代码服务器的后台

一旦下载完成，ZNIU rootkit会借助ZLIB将“exp * .ziu”解压为“exp * .inf”。

图9： ZLIB解压ziu文件

图10：inf文件的结构

ZNIU rootkit可以任意写入vDSO（虚拟动态链接共享对象）中，将一组内核空间的函数导出到用户空间，以便于更好的执行应用程序。vDSO代码可以不受SELinux限制在内核中运行。

ZNIU使用公开的漏洞利用代码向vDSO写入shellcode并创建反向shell。 然后，其会修改SELinux策略以解除限制，并植入后门root shell。

预防措施：

1.从应用商城或第三方应用商店下载合法应用程序

2.不随便点击不明链接，下载和安装应用程序

3.及时升级系统，打全系统补丁程序

4.安装移动端防病毒软件

亚信安全产品解决方案：

亚信安全最新病毒码版本13.682.60已经包含ZNIU恶意程序检测，请用户及时升级病毒码版本。

总结：

利用系统漏洞传播病毒虽然已经不是新技术，但是近期发生的几起大规模攻击事件都是利用了系统漏洞，5月，利用“永恒之蓝”漏洞传播的WannaCry勒索病毒席卷全球，接下来便是SambaCry漏洞被恶意利用，挖矿蠕虫病毒崛起。从这些事件中我们可以看到，当有通用且极易利用漏洞曝光时，漏洞利用已经变成一种常态，随之而来的就是攻击事件，攻击事件最终目的是为了获取利益。亚信安全提醒广大用户及时升级系统，打全系统补丁程序，不给犯罪分子可乘之机。