Programari maliciós per a mòbils Snowblind

Un nou programari maliciós d'Android rastrejat com a Snowblind aprofita una funció de seguretat per evitar les proteccions antimanipulacions actuals a les aplicacions que gestionen dades sensibles dels usuaris. Snowblind pretén tornar a empaquetar les aplicacions de destinació perquè no puguin detectar l'ús indegut dels serveis d'accessibilitat. Això permet que el programari maliciós capti les entrades de l'usuari com les credencials o obtingui control remot per dur a terme activitats malicioses.

El que diferencia a Snowblind d'altres programes maliciosos d'Android és l'explotació de "seccomp" (informàtica segura), una característica del nucli de Linux utilitzada per Android per a les comprovacions d'integritat de les aplicacions. Aquesta funció està destinada a protegir els usuaris contra accions no segures com ara el reempaquetament d'aplicacions.

Aprofitant les funcions de seguretat per comprometre els dispositius

L'anàlisi de Snowblind revela el seu mètode innovador per atacar aplicacions d'Android mitjançant l'explotació de la funció del nucli de Linux "seccomp". Seccomp és un mecanisme de seguretat que limita les trucades al sistema (syscalls) que les aplicacions poden realitzar, reduint així la seva superfície d'atac. Inicialment integrat per Google a Android 8 (Oreo), seccomp es va implementar dins del procés Zygote, el procés principal per a totes les aplicacions d'Android.

Snowblind s'adreça específicament a les aplicacions que gestionen dades sensibles mitjançant la injecció d'una biblioteca nativa que es carrega abans dels mecanismes antimanipulació. Instal·la un filtre seccomp per interceptar les crides de sistema com "open()", que s'utilitza habitualment per accedir a fitxers. Durant les comprovacions de manipulació de l'APK de l'aplicació de destinació, el filtre seccomp de Snowblind impedeix les trucades de sistema no autoritzades i activa un senyal SIGSYS, que indica un argument de trucada de sistema no vàlid.

Per evitar la detecció, Snowblind instal·la un controlador de senyal per a SIGSYS. Aquest controlador inspecciona i modifica els registres del fil, permetent que el programari maliciós manipuli els arguments de la crida al sistema 'open()'. Els investigadors expliquen que aquesta manipulació redirigeix el codi antimanipulació per veure una versió inalterada de l'APK.

A causa del seu enfocament específic, el filtre seccomp imposa un impacte mínim en el rendiment i la petjada operativa, cosa que fa que els usuaris no detectin anomalies durant l'ús habitual de l'aplicació.

Snowblind permet als atacants realitzar diverses accions perjudicials

El mètode emprat en els atacs de Snowblind sembla ser relativament desconegut, i els investigadors indiquen que la majoria de les aplicacions no estan equipades per defensar-s'hi. Aquest tipus d'atac funciona de manera discreta, i suposa un risc important de comprometre les credencials d'inici de sessió. A més, el programari maliciós té la capacitat de desactivar les funcions crítiques de seguretat de les aplicacions, com ara l'autenticació de dos factors i la verificació biomètrica.

Els atacants poden aprofitar aquesta tècnica per accedir a informació sensible a la pantalla, navegar per dispositius, manipular aplicacions i eludir els protocols de seguretat automatitzant accions que normalment requereixen la interacció de l'usuari. A més, poden extreure informació d'identificació personal i dades transaccionals.

L'abast de l'impacte de la campanya d'atac de Snowblind a les aplicacions encara no està clar. A més, hi ha la preocupació que altres actors d'amenaça puguin adoptar aquest mètode per evadir les proteccions d'Android en el futur.