在Linux内核中存在九年之久的提权漏洞“脏牛”（Dirty COW）去年10月浮出水面，攻击者可提升至root权限执行恶意操作。

被发现之时，“脏牛”是一个零日漏洞CVE-2016-5195。研究人员当时表示，攻击者利用该漏洞攻击Linux服务器，Linux随即发布补丁修复漏洞。最近，研究人员发现首款利用“脏牛”漏洞的安卓恶意软件，其名为“ZNIU”。

ZNIU用“脏牛”Root安卓设备，植入后门

发现提权漏洞“脏牛”几天之后，研究人员发现“脏牛”还能用来获取安卓设备的Root权限，这是因为安卓操作系统基于早期的Linux内核。

　　安卓操作系统所有版本均受到影响，谷歌于2016年11月发布安卓补丁。

更多有关“脏牛”的详情见以下【视频】：

9月25日，趋势科技的安全研究人员发布报告详细介绍了新恶意软件ZNIU，其使用“脏牛”获取设备的Root权限，并植入后门。

大多数受害者位于中国和印度

研究人员表示，攻击者利用这个恶意软件收集被感染设备上的信息。奇怪的是，只有当用户位于中国时，攻击才会进入第二阶段感染。攻击者使用后门赋予的完全控制权限为用户订阅付费短信服务。

ZNIU感染链

趋势科技在多个在线网站发现超过1200个携带ZNIU的恶意应用程序，大多数被感染的应用程序为游戏和色情应用，目前检测到约5000名用户遭遇ZNIU恶意软件感染，但这个数据可能有些保守，因为其只查看了自身移动安全解决方案保护的设备。

　　ZNIU的受害者遍布40个国家，大多数受害者位于中国和印度。

ZNIU的“脏牛”实现方式逊色

从技术层面来看，ZNIU使用 “脏牛”漏洞利用与研究人员去年发布的PoC代码不同。

这个“脏牛”漏洞利用代码只适用于ARM/X86 64位系统的安卓设备。当感染ARM32位CPU的安卓手机时，ZNIU借助KingoRoot应用和Iovyroot漏洞利用（CVE-2015-1805）获取Root访问权限。

被ZNIU感染的应用程序从未成功登陆Google Play商店。用户应当避免在Google Play商店以外的地方安装应用程序。