Trend Microのセキュリティ研究者は米国時間9月25日、脆弱性「Dirty COW」(CVE-2016-5195)が、「ZNIU」マルウェアサンプルで「AndroidOS_ZNIU」として検出されたと報告している。この脆弱性を悪用する初の「Android」マルウェアだという。
Dirty COWが最初に明らかになったのは2016年だ。何年もカーネルとLinuxディストリビューションに存在しており、攻撃者はcopy-on-write(COW)機構に競合状態が発生する脆弱性を通じてルート権限に昇格し、リードオンリーのメモリにアクセスできるようになる。そして、遠隔からの攻撃が可能になる。
Trend Microの研究者であるJason Gu氏、Veo Zhang氏、Seven Shen氏によると、ZNIUは8月時点で少なくとも40の国で存在していたという。被害の多くは中国とインドに集中しているが、米国、日本、カナダ、ドイツなどでも検出されたという。
Trend MicroがDirty COWとZNUIの統合を分析したところ、悪意あるコードを組み込んだ悪意あるAndroidアプリを1200件以上発見したという。ホストするウェブサイトにはルートキットが含まれており、これがDirty COWを悪用する。これらのアプリの中には、自身をポルノやゲーム関連のソフトウェアと見せかけたものもあるとのことだ。
これまでに感染したユーザーは5000人以上にのぼるという。
修正パッチをあてていない場合、Dirty COW脆弱性はAndroid OSの全バージョンに影響する恐れがある。Dirty COWを悪用するZNIUは、ARM/X86 64ビットアークテクチャのAndroidデバイスにのみ影響する。
「6つのZNIUルートキットをモニタリングしたところ、4つがDirty COWのエクスプロイトだった」とTrend Microは述べている。「残る2つはルーティングアプリの『KingoRoot』と、『lovyroot』エクスプロイト(CVE-2015-1805)だった。KingoRootとlovyrootはARM32ビットCPUデバイスをルート化できる(Dirty COW向けのルートキットはできない)ことから、ZNIUはこの2つを使用している」とも記している。
Googleは2016年12月、Dirty COW脆弱性を修正するセキュリティアップデートを発行している。だが、このセキュリティアップデートがユーザーの手元にある端末に配信される時期は、ベンダー次第となる。
提供:File Photo
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
