”Dirty COW”(CVE-2016-5195)。お金を盗み取るAndroid脆弱性
今回の記事では、Androidの脆弱性”Dirty Cow”に関して説明していく。
Dirty Cowの概要
LinuxのCopy on Write機能(COW)を使って、Read-Onlyのメモリマッピング情報を書き換えてしまう脆弱性(CVE-2016-5195)。
マルウェアのコードネームは、ZNIU。
Googleは2016年11月にパッチをリリースし、Androidの定期アップデートによってパッチされた脆弱性ではあったが、2017年9月になっても、Dirty Cowの被害に遭うユーザーが急増していた。
被害状況
先月(2017年8月)の段階で、ZNIUの被害は40カ国で確認されており、主に中国とインドのユーザーが被害にあっているという。
更に、アメリカ、日本等の国でもマルウェアの感染が確認されている。
対象のデバイス
エクスプロイトが機能するのは、ARM/X86 64-bitアーキテクチャのAndroid携帯のみとされている。
感染後のマルウェアの挙動
このマルウェアは、主にアダルトビデオ視聴用のアプリに偽装する。
インストールされた後、攻撃者の用意したC&Cサーバと暗号化された通信を始め、新しいバージョンがリリースされたら自動でアップデートを行う。
さらに、ルートキットをダウンロードし、Android携帯にバックドアを仕込む。
どんな被害にあうか
ZNIUは感染した携帯のキャリア情報を収集し、SMSでお金の支払いを行えるサービスを使ってお金をだまし取る。
その為、SMSで支払いを行えるサービスを提供している中国でしかお金を騙し取られる被害に遭う。
中国外でマルウェアをインストールした場合は、バックドアをインストールするのみに留まる。
PoC
PoCは以下のGitHubアカウントで管理されている。
脆弱性は未パッチ?
実は、あるセキュリティ研究者から、
「Dirty Cowの脆弱性を完全にパッチ出来ていないのでは無いか?」
という疑問の声が上がっている。
興味のある人は、以下のページを参照していただきたい。