Karena Linux adalah proyek open source, sulit untuk menemukan kelemahan keamanan dalam kode sumbernya karena ribuan pengguna secara aktif terus mengecek dan memperbaikinya. Karena pendekatan proaktif ini, bahkan ketika cacat ditemukan, segera ditambal. Itulah mengapa sangat mengejutkan ketika sebuah eksploit ditemukan tahun lalu yang lolos dari uji tuntas yang ketat dari semua pengguna selama 9 tahun terakhir. Ya, Anda membacanya dengan benar, meskipun exploit ditemukan pada Oktober 2016, ia telah ada di dalam kode kernel Linux sejak 9 tahun terakhir. Tipe kerentanan ini, yang merupakan jenis bug eskalasi hak istimewa dikenal sebagai kerentanan Cow Kotor (nomor katalog bug kernel Linux - CVE-2016-5195).
Meskipun kerentanan ini ditambal untuk Linux seminggu setelah penemuannya, ia meninggalkan semua perangkat Android rentan terhadap eksploitasi ini (Android didasarkan pada kernel Linux). Tambalan Android diikuti pada Desember 2016, namun, karena ekosistem Android yang terfragmentasi, masih ada banyak perangkat Android yang belum menerima pembaruan dan tetap rentan terhadapnya. Yang lebih menakutkan adalah bahwa malware Android baru yang dijuluki ZNIU ditemukan hanya beberapa hari yang lalu yang mengeksploitasi kerentanan Dirty Cow. Pada artikel ini, kita akan melihat secara mendalam kerentanan Dirty Cow dan bagaimana itu disalahgunakan di Android oleh malware ZNIU.
Apa Kerentanan Sapi Kotor?
Seperti disebutkan di atas, kerentanan Dirty Cow adalah jenis eksploitasi eskalasi hak istimewa yang dapat digunakan untuk memberikan hak istimewa pengguna super kepada siapa pun. Pada dasarnya, dengan menggunakan kerentanan ini setiap pengguna dengan niat jahat dapat memberikan dirinya hak istimewa super-pengguna, sehingga memiliki akses root lengkap ke perangkat korban. Mendapatkan akses root ke perangkat korban memberi penyerang kontrol penuh atas perangkat dan dia dapat mengekstraksi semua data yang tersimpan di perangkat, tanpa pengguna menjadi lebih bijak.
Apa itu ZNIU dan Apa Hubungannya dengan Sapi Kotor?
ZNIU adalah malware yang tercatat pertama untuk Android yang memanfaatkan kerentanan Dirty Cow untuk menyerang perangkat Android. Malware menggunakan kerentanan Cow Kotor untuk mendapatkan akses root ke perangkat korban. Saat ini, malware telah terdeteksi bersembunyi di lebih dari 1.200 game dewasa dan aplikasi porno. Pada saat penerbitan artikel ini, lebih dari 5000 pengguna di 50 negara diketahui terkena dampaknya.
Perangkat Android manakah yang rentan terhadap ZNIU?
Setelah ditemukannya kerentanan Dirty Cow (Oktober 2016), Google merilis tambalan pada Desember 2016 untuk memperbaiki masalah ini. Namun, tambalan dirilis untuk perangkat Android yang berjalan di Android KitKat (4.4) atau lebih tinggi. Menurut putusnya distribusi OS Android oleh Google, lebih dari 8% dari smartphone Android masih berjalan pada versi Android yang lebih rendah. Dari mereka yang menjalankan Android 4.4 hingga Android 6.0 (Marshmallow), hanya perangkat-perangkat tersebut yang aman yang telah menerima dan menginstal patch keamanan Desember untuk perangkat mereka.
Itu banyak perangkat Android yang berpotensi dieksploitasi. Namun, Orang dapat merasa terhibur karena ZNIU menggunakan versi kerentanan Dirty Cow yang agak dimodifikasi dan karenanya hanya berhasil melawan perangkat Android yang menggunakan arsitektur ARM / X86 64-bit . Namun, jika Anda adalah pemilik Android, akan lebih baik untuk memeriksa apakah Anda telah menginstal tambalan keamanan Desember atau tidak.
ZNIU: Bagaimana Cara Kerjanya?
Setelah pengguna mengunduh aplikasi jahat yang telah terinfeksi malware ZNIU, ketika mereka meluncurkan aplikasi, malware ZNIU akan secara otomatis menghubungi dan menyambung ke server perintah dan kontrol (C&C) untuk mendapatkan pembaruan jika tersedia. Setelah diperbarui, ia akan menggunakan eksploitasi hak istimewa (Sapi Kotor) untuk mendapatkan akses root ke perangkat korban. Setelah memiliki akses root ke perangkat, itu akan mengambil informasi pengguna dari perangkat .
Saat ini, malware menggunakan informasi pengguna untuk menghubungi operator jaringan korban dengan menyamar sebagai pengguna itu sendiri. Setelah dikonfirmasi, ia akan melakukan transaksi mikro berbasis SMS dan mengumpulkan pembayaran melalui layanan pembayaran operator. Malware cukup cerdas untuk menghapus semua pesan dari perangkat setelah transaksi dilakukan. Dengan demikian, korban tidak tahu tentang transaksi. Umumnya, transaksi dilakukan untuk jumlah yang sangat kecil ($ 3 / bulan). Ini adalah tindakan pencegahan lain yang diambil oleh penyerang untuk memastikan bahwa korban tidak menemukan transfer dana.
Setelah melacak transaksi, ditemukan bahwa uang itu ditransfer ke perusahaan boneka yang berbasis di Cina . Karena transaksi berbasis operator tidak berwenang untuk mentransfer uang secara internasional, hanya pengguna yang terpengaruh di China yang akan menderita dari transaksi ilegal ini. Namun, pengguna di luar China masih akan menginstal malware di perangkat mereka yang dapat diaktifkan kapan saja dari jarak jauh, menjadikan mereka target potensial. Bahkan jika korban internasional tidak menderita dari transaksi ilegal, pintu belakang memberi penyerang kesempatan untuk menyuntikkan kode berbahaya lebih dalam perangkat.
Cara Menyelamatkan Diri Dari ZNIU Malware
Kami telah menulis seluruh artikel tentang melindungi perangkat Android Anda dari malware, yang dapat Anda baca dengan mengklik di sini. Hal dasar adalah menggunakan akal sehat dan tidak menginstal aplikasi dari sumber yang tidak dipercaya. Bahkan dalam kasus malware ZNIU, kita telah melihat bahwa malware tersebut dikirimkan ke ponsel korban ketika mereka menginstal aplikasi pornografi atau game dewasa, yang dibuat oleh pengembang yang tidak dipercaya. Untuk melindungi dari malware tertentu ini, pastikan perangkat Anda ada di tambalan keamanan saat ini dari Google. Eksploitasi telah ditambal dengan tambalan keamanan Desember (2016) dari Google, karenanya siapa pun yang memasang tambalan itu aman dari malware ZNIU. Namun, tergantung pada OEM Anda, Anda mungkin belum menerima pembaruan, karena itu selalu lebih baik untuk menyadari semua risiko dan mengambil tindakan pencegahan yang diperlukan dari pihak Anda. Sekali lagi, segala sesuatu yang harus dan tidak Anda lakukan untuk menyelamatkan perangkat Anda agar tidak terinfeksi oleh malware disebutkan dalam artikel yang ditautkan di atas.
Lindungi Android Anda dari terinfeksi oleh Malware
Beberapa tahun terakhir telah terjadi peningkatan serangan malware di Android. Kerentanan Sapi Kotor adalah salah satu eksploitasi terbesar yang pernah ditemukan dan melihat bagaimana ZNIU mengeksploitasi kerentanan ini hanya mengerikan. ZNIU sangat mengkhawatirkan karena luasnya perangkat yang terkena dampaknya, dan kontrol tanpa batas yang diberikannya kepada penyerang. Namun, jika Anda mengetahui masalah dan melakukan tindakan pencegahan yang diperlukan, perangkat Anda akan aman dari serangan yang berpotensi berbahaya ini. Jadi, pertama-tama pastikan Anda memperbarui tambalan keamanan terbaru dari Google segera setelah Anda mendapatkannya, dan kemudian jauhkan dari aplikasi, file, dan tautan yang tidak dipercaya dan mencurigakan. Menurut Anda apa yang harus dilakukan seseorang melindungi perangkat mereka terhadap serangan malware. Sampaikan pendapat Anda tentang masalah ini dengan menjatuhkannya di bagian komentar di bawah.