Зловреден софтуер за мобилни устройства Snowblind

Нов злонамерен софтуер за Android, проследяван като Snowblind, използва функция за сигурност, за да заобиколи текущите защити срещу фалшифициране в приложения, които управляват чувствителни потребителски данни. Snowblind има за цел да преопакова целевите приложения, така че да не могат да открият злоупотребата с услугите за достъпност. Това позволява на злонамерения софтуер да улавя потребителски данни като идентификационни данни или да получава дистанционно управление за извършване на злонамерени дейности.

Това, което отличава Snowblind от другите зловреден софтуер за Android, е неговата експлоатация на „seccomp“ (сигурно изчисление), функция на ядрото на Linux, използвана от Android за проверки на целостта на приложенията. Тази функция има за цел да предпази потребителите от опасни действия като преопаковане на приложения.

Използване на функциите за сигурност за компрометиране на устройства

Анализът на Snowblind разкрива неговия иновативен метод за атака на Android приложения чрез използване на функцията на ядрото на Linux 'seccomp'. Seccomp е механизъм за сигурност, който ограничава системните повиквания (syscall), които приложенията могат да извършват, като по този начин намалява повърхността им за атака. Първоначално интегриран от Google в Android 8 (Oreo), seccomp беше внедрен в процеса Zygote, основният процес за всички приложения за Android.

Snowblind специално е насочен към приложения, обработващи чувствителни данни чрез инжектиране на собствена библиотека, която се зарежда преди механизмите против подправяне. Той инсталира филтър seccomp за прихващане на системни повиквания като 'open()', често използвани за достъп до файлове. По време на проверки за подправяне на APK на целевото приложение, филтърът seccomp на Snowblind предотвратява неоторизирани системни повиквания и задейства сигнал SIGSYS, показващ невалиден аргумент на системно повикване.

За да заобиколи откриването, Snowblind инсталира манипулатор на сигнали за SIGSYS. Този манипулатор инспектира и модифицира регистрите на нишката, позволявайки на злонамерения софтуер да манипулира аргументите на системното извикване 'open()'. Изследователите обясняват, че тази манипулация пренасочва кода против подправяне, за да видите непроменена версия на APK.

Благодарение на целенасочения си подход, филтърът seccomp налага минимално въздействие върху производителността и оперативния отпечатък, което прави малко вероятно потребителите да открият аномалии по време на редовно използване на приложението.

Snowblind позволява на нападателите да извършват различни вредни действия

Методът, използван при атаките на Snowblind, изглежда сравнително неизвестен и изследователите показват, че повечето приложения не са оборудвани да се защитават срещу него. Този тип атака действа дискретно, създавайки значителен риск от компрометиране на идентификационните данни за вход. Освен това злонамереният софтуер има способността да деактивира критични функции за сигурност на приложението, като двуфакторно удостоверяване и биометрична проверка.

Нападателите могат да използват тази техника за достъп до чувствителна информация на екрана, навигация в устройства, манипулиране на приложения и заобикаляне на протоколи за сигурност чрез автоматизиране на действия, които обикновено изискват взаимодействие с потребителя. Освен това те могат да извличат лична информация и данни за транзакции.

Степента на въздействието на атаката на Snowblind върху приложенията остава неясна. Освен това има опасения, че други заплахи могат да приемат този метод, за да избегнат защитите на Android в бъдеще.