在Linux內(nèi)核中存在九年之久的提權(quán)漏洞“臟牛”（Dirty COW）去年10月浮出水面，攻擊者可提升至root權(quán)限執(zhí)行惡意操作。

被發(fā)現(xiàn)之時，“臟牛”是一個零日漏洞CVE-2016-5195。研究人員當時表示，攻擊者利用該漏洞攻擊Linux服務(wù)器，Linux隨即發(fā)布補丁修復漏洞。最近，研究人員發(fā)現(xiàn)首款利用“臟牛”漏洞的安卓惡意軟件，其名為“ZNIU”。

發(fā)現(xiàn)提權(quán)漏洞“臟牛”幾天之后，研究人員發(fā)現(xiàn)“臟牛”還能用來獲取安卓設(shè)備的Root權(quán)限，這是因為安卓操作系統(tǒng)基于早期的Linux內(nèi)核。

　　安卓操作系統(tǒng)所有版本均受到影響，谷歌于2016年11月發(fā)布安卓補丁。

更多有關(guān)“臟牛”的詳情見以下【視頻】：

9月25日，趨勢科技的安全研究人員發(fā)布報告詳細介紹了新惡意軟件ZNIU，其使用“臟牛”獲取設(shè)備的Root權(quán)限，并植入后門。

研究人員表示，攻擊者利用這個惡意軟件收集被感染設(shè)備上的信息。奇怪的是，只有當用戶位于中國時，攻擊才會進入第二階段感染。攻擊者使用后門賦予的完全控制權(quán)限為用戶訂閱付費短信服務(wù)。

ZNIU感染鏈

趨勢科技在多個在線網(wǎng)站發(fā)現(xiàn)超過1200個攜帶ZNIU的惡意應(yīng)用程序，大多數(shù)被感染的應(yīng)用程序為游戲和色情應(yīng)用，目前檢測到約5000名用戶遭遇ZNIU惡意軟件感染，但這個數(shù)據(jù)可能有些保守，因為其只查看了自身移動安全解決方案保護的設(shè)備。

　　ZNIU的受害者遍布40個國家，大多數(shù)受害者位于中國和印度。

從技術(shù)層面來看，ZNIU使用 “臟牛”漏洞利用與研究人員去年發(fā)布的PoC代碼不同。

這個“臟牛”漏洞利用代碼只適用于ARM/X86 64位系統(tǒng)的安卓設(shè)備。當感染ARM32位CPU的安卓手機時，ZNIU借助KingoRoot應(yīng)用和Iovyroot漏洞利用（CVE-2015-1805）獲取Root訪問權(quán)限。

被ZNIU感染的應(yīng)用程序從未成功登陸Google Play商店。用戶應(yīng)當避免在Google Play商店以外的地方安裝應(yīng)用程序。