เมื่อช่วงประมาณกลางๆปีที่แล้ว ได้มีการเปิดเผยช่องโหว่ DirtyCOW ซึ่งกระทบ Linux จำนวนมาก ซึ่งรวมถึง Android ด้วย โดยในช่วงของปีที่แล้วยังไม่มี Android Malware ตัวไหนที่มีการใช้งาน Dirty COW มาก่อน มาวันนี้มันได้ปรากฏขึ้นแล้วครับ

Dirty COW(CVE-2016-5195) เป็นช่องโหว่สำหรับการเพิ่มสิทธิ์ของ user ธรรมดาให้กลายเป็นสิทธิ์สูงสุดของเครื่อง(root) ทำให้ Attacker สามารถสั่งยึดเครื่องได้อย่างสมบูรณ์ โดยการใช้งาน Dirty COW ใน Android Malware ไม่เคยพบมาก่อนจนกระทั่งเร็วๆนี้ เนื่องด้วย Attacker จำเป็นต้องสร้าง exploit ขึ้นมาให้เหมาะสมกับ device ส่วนใหญ่ด้วย ซึ่งนั่นทำให้ต้องใช้เวลาพอสมควร และล่าสุดมันก็มา โดย Trend Micro พบ malware ที่ชื่อว่า ZNIU เป็นตระกูล android malware ตัวแรกที่ใช้ช่องโหว่ดังกล่าวใน Linux

ZNIU malware ถูกพบได้ในกว่า 40 ประเทศเมื่อเดือนที่ผ่านมา โดยหลักๆเจอที่จีนและอินเดีย แต่ก็ยังได้ใน U.S., Japan, Canada, Germany, และ Indonesia. ด้วยเช่นกัน มีเครื่องที่ติด malware ตัวนี้ไปแล้วถึง 5000 เครื่อง ซึ่งจากการตรวจสอบพบว่ามี application ทั้งหมดถึง 1,200 application ที่มีการฝัง ZNIU เข้าไปไว้ด้วย โดยส่วนใหญ่จะเป็น game, โปรแกรมถ่ายรูป และอื่นๆ

ทาง Trend Micro พบว่า DirtyCOW นั้นทำงานได้เฉพาะบน Android device ที่เป็น ARM/X86 64-bit architecture. เท่านั้น อย่างไรก็ตายการโจมตีนี้สามารถ bypass ได้ทั้ง SELinux และทำการฝัง backdoor, ทาง Trend Micro ยังกล่าวอีกว่า ZNIU rootkits มี 4 ตระกูลที่ใช้ Dirty COW exploits และมีอีก 2 ตัวที่ใช้ KingoRoot, ซึ่งใช้ Iovyroot exploit (CVE-2015-1805) แทน เพื่อที่จะ root เครื่องที่เป็น ARM 32-bit CPU devices

ขั้นตอนการติด

ZNIU มักจะแฝงไปกับ app โป๊จากเว็บไซด์ที่อันตราย เมื่อทำการรัน ZNIU จะทำการติดต่อไปยัง C&C Server แล้ว update code ของตัวเองด้วย code ที่ได้รับจาก C&C Server ในขณะเดียวกันก็ทำส่วน exploit ด้วย Dirty COW ไปด้วย เพื่อให้ได้สิทธิ์สูงสุดของเครื่องแล้วฝัง backdoor เพื่อให้ติดต่อกลับมาได้ง่ายๆต่อไป

เมื่อเข้าถึง UI ของเครื่อง malware จะเริ่มทำการเก็บข้อมูลการใช้งานต่างๆแล้วส่งข้อมูล + ทำการ register SMS payment service ต่างๆ ทำให้ Malware สามารถยึดเครื่องได้แบบเบ็ดเสร็จ และตัว attacker ก็ได้เงินค่าบริการเหล่านั้นด้วย

Source:: Trend Micro, Trend Micro#2