স্নোব্লাইন্ড মোবাইল ম্যালওয়্যার
স্নোব্লাইন্ড হিসাবে ট্র্যাক করা একটি অভিনব অ্যান্ড্রয়েড ম্যালওয়্যার সংবেদনশীল ব্যবহারকারীর ডেটা পরিচালনা করে এমন অ্যাপগুলিতে বর্তমান অ্যান্টি-টেম্পারিং সুরক্ষাগুলিকে বাইপাস করার জন্য একটি সুরক্ষা বৈশিষ্ট্য ব্যবহার করে৷ স্নোব্লাইন্ডের লক্ষ্য হল টার্গেট অ্যাপ্লিকেশনগুলিকে পুনরায় প্যাকেজ করা যাতে তারা অ্যাক্সেসিবিলিটি পরিষেবাগুলির অপব্যবহার সনাক্ত করতে না পারে৷ এটি ম্যালওয়্যারকে শংসাপত্রের মতো ব্যবহারকারীর ইনপুটগুলি ক্যাপচার করতে বা দূষিত ক্রিয়াকলাপ সম্পাদন করতে রিমোট কন্ট্রোল লাভ করতে দেয়৷
যেটি স্নোব্লাইন্ডকে অন্যান্য অ্যান্ড্রয়েড ম্যালওয়্যার থেকে আলাদা করে তা হল 'seccomp' (নিরাপদ কম্পিউটিং) এর শোষণ, একটি লিনাক্স কার্নেল বৈশিষ্ট্য যা অ্যাপ্লিকেশানের অখণ্ডতা যাচাইয়ের জন্য অ্যান্ড্রয়েড দ্বারা ব্যবহৃত হয়। এই বৈশিষ্ট্যটি ব্যবহারকারীদের অ্যাপ্লিকেশন রিপ্যাকিংয়ের মতো অনিরাপদ ক্রিয়া থেকে রক্ষা করার উদ্দেশ্যে।
ডিভাইসের সাথে আপস করার জন্য সুরক্ষা বৈশিষ্ট্যগুলিকে কাজে লাগানো৷
স্নোব্লাইন্ডের বিশ্লেষণ লিনাক্স কার্নেল বৈশিষ্ট্য 'seccomp' এর শোষণের মাধ্যমে অ্যান্ড্রয়েড অ্যাপ্লিকেশনগুলিকে আক্রমণ করার উদ্ভাবনী পদ্ধতি প্রকাশ করে। Seccomp হল একটি নিরাপত্তা ব্যবস্থা যা সিস্টেম কলগুলিকে সীমিত করে (syscalls) অ্যাপ্লিকেশনগুলি সম্পাদন করতে পারে, যার ফলে তাদের আক্রমণের পৃষ্ঠকে হ্রাস করে। প্রাথমিকভাবে অ্যান্ড্রয়েড 8 (ওরিও) তে Google দ্বারা একীভূত করা হয়েছিল, সেকমপ জাইগোট প্রক্রিয়ার মধ্যে প্রয়োগ করা হয়েছিল, যা সমস্ত অ্যান্ড্রয়েড অ্যাপ্লিকেশনের মূল প্রক্রিয়া।
স্নোব্লাইন্ড বিশেষভাবে অ্যান্টি-টেম্পারিং মেকানিজমের আগে লোড হওয়া একটি নেটিভ লাইব্রেরি ইনজেকশনের মাধ্যমে সংবেদনশীল ডেটা পরিচালনাকারী অ্যাপ্লিকেশনগুলিকে লক্ষ্য করে। এটি 'ওপেন()' এর মতো সিস্কালগুলিকে আটকাতে একটি সেককম ফিল্টার ইনস্টল করে, সাধারণত ফাইল অ্যাক্সেসের জন্য ব্যবহৃত হয়। টার্গেট অ্যাপ্লিকেশানের APK-এর টেম্পারিং চেক করার সময়, স্নোব্লাইন্ডের সেককম ফিল্টার অননুমোদিত সিস্কালগুলি প্রতিরোধ করে এবং একটি SIGSYS সংকেত ট্রিগার করে, যা একটি অবৈধ syscall যুক্তি নির্দেশ করে৷
সনাক্তকরণ এড়াতে, স্নোব্লাইন্ড SIGSYS-এর জন্য একটি সংকেত হ্যান্ডলার ইনস্টল করে। এই হ্যান্ডলার থ্রেডের রেজিস্টারগুলি পরিদর্শন করে এবং সংশোধন করে, ম্যালওয়্যারকে 'open()' syscall-এর আর্গুমেন্টগুলি ম্যানিপুলেট করতে সক্ষম করে৷ গবেষকরা ব্যাখ্যা করেন যে এই ম্যানিপুলেশনটি এন্টি-টেম্পারিং কোডটিকে APK-এর একটি অপরিবর্তিত সংস্করণ দেখার জন্য পুনঃনির্দেশ করে।
এর লক্ষ্যযুক্ত পদ্ধতির কারণে, seccomp ফিল্টার ন্যূনতম কর্মক্ষমতা প্রভাব এবং অপারেশনাল পদচিহ্ন আরোপ করে, যা ব্যবহারকারীদের নিয়মিত অ্যাপ্লিকেশন ব্যবহারের সময় অস্বাভাবিকতা সনাক্ত করতে অসম্ভাব্য করে তোলে।
স্নোব্লাইন্ড আক্রমণকারীদের বিভিন্ন ক্ষতিকারক ক্রিয়া সম্পাদন করতে দেয়
স্নোব্লাইন্ড আক্রমণে নিযুক্ত পদ্ধতিটি তুলনামূলকভাবে অজানা বলে মনে হয় এবং গবেষকরা ইঙ্গিত দেন যে বেশিরভাগ অ্যাপই এর বিরুদ্ধে রক্ষা করার জন্য সজ্জিত নয়। এই ধরনের আক্রমণ বিচক্ষণতার সাথে পরিচালনা করে, লগইন শংসাপত্রের সাথে আপস করার একটি উল্লেখযোগ্য ঝুঁকি তৈরি করে। তদুপরি, ম্যালওয়্যারটির দুটি-ফ্যাক্টর প্রমাণীকরণ এবং বায়োমেট্রিক যাচাইকরণের মতো গুরুত্বপূর্ণ অ্যাপ সুরক্ষা বৈশিষ্ট্যগুলি অক্ষম করার ক্ষমতা রয়েছে।
আক্রমণকারীরা সংবেদনশীল অন-স্ক্রীন তথ্য অ্যাক্সেস করতে, ডিভাইসগুলি নেভিগেট করতে, অ্যাপ্লিকেশনগুলিকে ম্যানিপুলেট করতে এবং সাধারণত ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন এমন স্বয়ংক্রিয় ক্রিয়াগুলির মাধ্যমে নিরাপত্তা প্রোটোকলগুলিকে ফাঁকি দিতে এই কৌশলটি ব্যবহার করতে পারে। উপরন্তু, তারা ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্য এবং লেনদেনের ডেটা বের করতে পারে।
অ্যাপ্লিকেশনগুলিতে স্নোব্লাইন্ড আক্রমণ অভিযানের প্রভাবের পরিমাণ অস্পষ্ট রয়ে গেছে। উপরন্তু, উদ্বেগ রয়েছে যে অন্যান্য হুমকি অভিনেতারা ভবিষ্যতে Android সুরক্ষা এড়াতে এই পদ্ধতিটি গ্রহণ করতে পারে।
