البرامج الضارة للأجهزة المحمولة Snowblind
تم تتبع برنامج ضار جديد يعمل بنظام Android حيث يستغل Snowblind إحدى ميزات الأمان لتجاوز وسائل الحماية الحالية ضد التلاعب في التطبيقات التي تدير بيانات المستخدم الحساسة. يهدف Snowblind إلى إعادة تجميع التطبيقات المستهدفة حتى لا تتمكن من اكتشاف سوء استخدام خدمات إمكانية الوصول. يتيح ذلك للبرامج الضارة التقاط مدخلات المستخدم مثل بيانات الاعتماد أو التحكم عن بعد لتنفيذ أنشطة ضارة.
ما يميز Snowblind عن البرامج الضارة الأخرى التي تعمل بنظام Android هو استغلاله لـ "seccomp" (الحوسبة الآمنة)، وهي ميزة Linux kernel يستخدمها Android للتحقق من سلامة التطبيقات. تهدف هذه الميزة إلى حماية المستخدمين من الإجراءات غير الآمنة مثل إعادة تجميع التطبيقات.
استغلال ميزات الأمان لاختراق الأجهزة
يكشف تحليل Snowblind عن طريقته المبتكرة في مهاجمة تطبيقات Android من خلال استغلال ميزة seccomp في Linux kernel. Seccomp هي آلية أمنية تحد من قدرة تطبيقات استدعاءات النظام (syscalls) على الأداء، وبالتالي تقليل سطح الهجوم الخاص بها. تم دمج seccomp في البداية بواسطة Google في Android 8 (Oreo)، وتم تنفيذه ضمن عملية Zygote، وهي العملية الأم لجميع تطبيقات Android.
يستهدف Snowblind على وجه التحديد التطبيقات التي تتعامل مع البيانات الحساسة عن طريق حقن مكتبة أصلية يتم تحميلها قبل آليات مكافحة التلاعب. يقوم بتثبيت مرشح seccomp لاعتراض مكالمات النظام مثل 'open()'، والذي يستخدم عادة للوصول إلى الملفات. أثناء عمليات فحص التلاعب بملف APK الخاص بالتطبيق المستهدف، يمنع مرشح seccomp الخاص بـ Snowblind مكالمات النظام غير المصرح بها ويطلق إشارة SIGSYS، مما يشير إلى وسيطة syscall غير صالحة.
للتحايل على الاكتشاف، يقوم Snowblind بتثبيت معالج إشارة لـ SIGSYS. يقوم هذا المعالج بفحص سجلات سلسلة الرسائل وتعديلها، مما يمكّن البرامج الضارة من معالجة وسيطات استدعاء النظام 'open()'. يوضح الباحثون أن هذا التلاعب يعيد توجيه كود مكافحة التلاعب لعرض نسخة غير معدلة من APK.
نظرًا لنهجه المستهدف، فإن مرشح seccomp يفرض الحد الأدنى من تأثير الأداء والبصمة التشغيلية، مما يجعل من غير المرجح أن يكتشف المستخدمون أي خلل أثناء الاستخدام المنتظم للتطبيق.
يسمح Snowblind للمهاجمين بتنفيذ أعمال ضارة مختلفة
ويبدو أن الطريقة المستخدمة في هجمات Snowblind غير معروفة نسبيًا، ويشير الباحثون إلى أن معظم التطبيقات غير مجهزة للدفاع ضدها. يعمل هذا النوع من الهجمات بشكل سري، مما يشكل خطرًا كبيرًا في اختراق بيانات اعتماد تسجيل الدخول. علاوة على ذلك، تتمتع البرامج الضارة بالقدرة على تعطيل ميزات أمان التطبيق المهمة مثل المصادقة الثنائية والتحقق البيومتري.
يمكن للمهاجمين الاستفادة من هذه التقنية للوصول إلى المعلومات الحساسة التي تظهر على الشاشة، والتنقل بين الأجهزة، ومعالجة التطبيقات، والتحايل على بروتوكولات الأمان من خلال أتمتة الإجراءات التي تتطلب عادةً تفاعل المستخدم. بالإضافة إلى ذلك، يمكنهم استخراج معلومات التعريف الشخصية وبيانات المعاملات.
لا يزال مدى تأثير حملة هجوم Snowblind على التطبيقات غير واضح. علاوة على ذلك، هناك قلق من أن الجهات الفاعلة الأخرى في مجال التهديد قد تتبنى هذه الطريقة للتهرب من حماية Android في المستقبل.
