Ngày 25/9, các chuyên gia bảo mật của Trend Micro đã phát hiện lỗ hổng trên mẫu phần mềm độc hại ZNIU, có tên AndroidOS_ZNIU. Đây là mẫu đầu tiên được tìm thấy có chứa lỗ hổng.
Lỗ hổng Dirty Cow được phát hiện chính thức vào năm 2016. Các điểm yếu trên nhân và bản phân phối của Linux đã tạo điều kiện cho tin tặc tấn công và chiếm quyền kiểm soát thông qua một lỗi điều kiện. Sau đó, chúng truy cập vào bộ nhớ và thiết lập các cuộc tấn công từ xa. Kể từ khi bị phát hiện, Dirty Cow vẫn chưa có động thái biến đổi, có lẽ nó cần thời gian để hoàn thiện.
Cuộc nghiên cứu của Trend Micro đã phát hiện hơn 1.200 ứng dụng Android độc hại, mã độc được ẩn trong các trang web có chứa Dirty Cow. Hơn 5.000 người dùng ở ít nhất 40 quốc gia đã bị tấn công bởi mã này.
Khi chưa được giải quyết, các lỗ hổng Dirty Cow ảnh hưởng tới tất cả phiên bản Android. Trong đó, Dirty Cow trên ZNIU chỉ ảnh hưởng tới các thiết bị di động sử dụng vi xử lý ARM/X68 64 bit, nhưng những phiên bản mới hơn của nó có thể xâm nhập vào cả SELinux và các hàng rào bảo mật kiểu mới.
ZNIU thường xuất hiện dưới dạng ứng dụng khiêu dâm được tải xuống từ các trang web bất hợp pháp. Sau khi chạy, phần mềm độc hại sẽ kết nối với trung tâm điều khiển và chỉ huy (C&C) để kiểm tra các bản cập nhật. Đồng thời nó phát tán Dirty Cow chiếm quyền kiểm soát, phá vỡ các hàng rào bảo vệ, tạo lỗ hổng và sự thuận lợi cho các cuộc tấn công từ xa.
Phần mềm này cũng thu thập thông tin người dùng, sau đó gửi các khoản thanh toán qua tin nhắn SMS tới những công ty ma ở Trung Quốc. Ngay sau khi được gửi đi, các tin nhắn này tự động xóa trên điện thoại để tránh bị phát hiện.
Tháng 12 năm ngoái, Google đã phát hành bản cập nhật bảo mật để khắc phục lỗ hổng này. Tuy nhiên, thiết bị có được cập nhật hay không phụ thuộc vào hãng sản xuất. Bên cạnh đó, công ty khẳng định Google Play Protect sẽ bảo vệ thiết bị khỏi các phần mềm độc hại.