”Dirty COW”(CVE-2016-5195)。お金を盗み取るAndroid脆弱性

f:id:nanashi0x:20171201214745p:plain

今回の記事では、Android脆弱性”Dirty Cow”に関して説明していく。

Dirty Cowの概要

LinuxのCopy on Write機能(COW)を使って、Read-Onlyのメモリマッピング情報を書き換えてしまう脆弱性(CVE-2016-5195)。

マルウェアのコードネームは、ZNIU。

Googleは2016年11月にパッチをリリースし、Androidの定期アップデートによってパッチされた脆弱性ではあったが、2017年9月になっても、Dirty Cowの被害に遭うユーザーが急増していた。

被害状況

先月(2017年8月)の段階で、ZNIUの被害は40カ国で確認されており、主に中国とインドのユーザーが被害にあっているという。

更に、アメリカ、日本等の国でもマルウェアの感染が確認されている。

対象のデバイス

エクスプロイトが機能するのは、ARM/X86 64-bitアーキテクチャAndroid携帯のみとされている。

感染後のマルウェアの挙動

このマルウェアは、主にアダルトビデオ視聴用のアプリに偽装する。

インストールされた後、攻撃者の用意したC&Cサーバと暗号化された通信を始め、新しいバージョンがリリースされたら自動でアップデートを行う。

さらに、ルートキットをダウンロードし、Android携帯にバックドアを仕込む。

どんな被害にあうか

ZNIUは感染した携帯のキャリア情報を収集し、SMSでお金の支払いを行えるサービスを使ってお金をだまし取る。

その為、SMSで支払いを行えるサービスを提供している中国でしかお金を騙し取られる被害に遭う。

中国外でマルウェアをインストールした場合は、バックドアをインストールするのみに留まる。

PoC

PoCは以下のGitHubアカウントで管理されている。

参考URL(外部サイト)"Huge Dirty Cow" POC

脆弱性は未パッチ?

実は、あるセキュリティ研究者から、

「Dirty Cowの脆弱性を完全にパッチ出来ていないのでは無いか?」

という疑問の声が上がっている。

興味のある人は、以下のページを参照していただきたい。