“脏牛”漏洞卷土重来 攻击者可以利用植入的后门收集设备中的信(2)

　　下载之后，‘exp*.ziu’ rootkit 会解压为 ‘exp*.inf’ ：

　　rootkit 所需的全部文件都打包存储在同一个 .inf 文件中，该文件以 ‘ulnz’ 开头，包含 ELF 和 script 文件。

　　ZNIU rootkit可以任意写入 vDSO（虚拟动态链接共享对象），该对象将一组内核空间函数导出到用户空间，便于应用程序更好地执行。 vDSO 代码可在以没有 SELinux 限制的内核环境中运行。

　　ZNIU 使用公开的 exploit 代码将 shellcode 写入 vDSO 并创建反向 shell。 随后修补 SELinux 策略以解除限制，并植入后门 root shell。

　　1200 多个安卓 APP 受感染

　　目前，研究人员已经在各个网站中检测到 1200 多个携带 ZNIU 的恶意 APP 或，大多是游戏和色情应用。此外，趋势科技以公司客户为对象进行检测，发现 5000 名感染了 ZNIU 恶意程序的用户，而全球范围的实际感染数量可能更大。ZNIU 感染的用户遍布 40 个国家，其中大多数人位于中国和印度，还有一部分位于美国、日本、加拿大、德国和印度尼西亚等。

　　谷歌目前已经发布了修复补丁，并在官方 Play Store 中进行了检测。可以确认的是，感染了 ZNIU 的 APP 不会出现在谷歌 Play Store中.

　　因此，为了避免感染，用户只能从Google Play Store 或受信任的第三方应用商店下载应用程序，并使用合适的安全解决方案。用户还可以与设备制造商和/或电话运营商联系，获取漏洞的补丁。

　　以下是检测到的包含哈希值、包名和 APP 标签的入侵指标列表，可以查看到所有受感染的 APP 类型：