百度安全实验室

警惕Android 首款利用脏牛漏洞病毒

时间:2017/09/29   作者:MD小组

 

 

    近日百度移动反病毒团队监控到首例利用脏牛漏洞的恶意病毒Zniu在国内大量传播。该病毒将恶意代码插入到色情和热门游戏App中,在用户未知情的情况下,利用脏牛漏洞(CVE-2016-5195)获取root权限,根据运营商类型,私自发送扣费短息,造成用户资费损失。
 
 

一、分析

 

1、感染应用

 
该病毒将恶意代码插入到色情和热门游戏中,下图所示为Zniu病毒的感染的部分程序名称。

zniu1

图[1]病毒程序名称

 

2、恶意行为

 
Zniu病毒恶意行为主要有以下两点:
利用脏牛漏洞获取root权限
私自发送扣费短信
 

3、脏牛漏洞揭秘

 
漏洞编号:CVE-2016-5195
漏洞名称:脏牛(Dirty COW)
漏洞危害:低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权
影响范围:Linux内核>=2.6.22(2007年发行)开始就受影响了,直到2016年10月18日才修复。
漏洞原理:Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。
 

4、恶意代码组件

 
经我们统计目前市场上出现的Zniu病毒主要有以下3种receiver

zniu2

zniu3

zniu4

图[2]恶意代码组件

 

5、恶意代码分析

 
该病毒通过receiver启动加载so,运行native代码。

zniu5

图[3]加载so,运行native代码

 
Native代码会收集手机的型号等信息发送到服务器,同时获取rootkit的最新版本。

zniu6

图[4]收集手机型号信息

 
下载后的ziu后缀的rootkit文件被解压成为后缀inf。

zniu7

图[5]解压文件

 
利用下载的rootkit进行提权操作,并上报是否成功。在加载so的同时,启动扣费代码,进行恶意扣费。

zniu8

图[6]启动扣费代码

 

二、溯源

1、根据病毒样本下载量较多的域名进行进一步跟踪

zniu9

图[7]域名查询结果

 

zniu10

图[8]域名查询结果

 
2、根据域名注册手机号查询微信和支付宝账号
 

zniu111

图[9]支付宝和微信账号截图

相关播报

首页 | 百度手机卫士 | 开放平台 | 关于我们

Copyright © 2018 Baidu. All Rights Reserved.

百度公司 版权所有