Snowblind Mobile Malware

Nový malware pro Android sledovaný jako Snowblind využívá bezpečnostní funkci k obcházení současné ochrany proti neoprávněné manipulaci v aplikacích, které spravují citlivá uživatelská data. Snowblind si klade za cíl přebalit cílové aplikace, aby nemohly odhalit zneužití služeb usnadnění. To umožňuje malwaru zachytit uživatelské vstupy, jako jsou přihlašovací údaje, nebo získat vzdálenou kontrolu pro provádění škodlivých činností.

To, co odlišuje Snowblind od jiného malwaru pro Android, je jeho využívání „seccomp“ (zabezpečený výpočet), což je funkce linuxového jádra, kterou Android používá ke kontrole integrity aplikací. Tato funkce je určena k ochraně uživatelů před nebezpečnými akcemi, jako je přebalení aplikací.

Využití funkcí zabezpečení ke kompromitaci zařízení

Analýza Snowblind odhaluje jeho inovativní metodu napadání aplikací pro Android prostřednictvím využití funkce linuxového jádra „seccomp“. Seccomp je bezpečnostní mechanismus, který omezuje systémová volání (syscalls), které mohou aplikace provádět, a tím snižuje jejich útočnou plochu. Seccomp, který byl původně integrován společností Google v systému Android 8 (Oreo), byl implementován v rámci procesu Zygote, nadřazeného procesu pro všechny aplikace pro Android.

Snowblind se specificky zaměřuje na aplikace zpracovávající citlivá data vložením nativní knihovny, která se načte před mechanismy proti neoprávněné manipulaci. Nainstaluje filtr seccomp pro zachycení systémových volání, jako je 'open()', běžně používané pro přístup k souborům. Během kontrol neoprávněné manipulace s APK cílové aplikace zabraňuje seccomp filtr Snowblind neoprávněným systémovým voláním a spouští signál SIGSYS, což indikuje neplatný argument systémového volání.

Aby se zabránilo detekci, Snowblind nainstaluje obsluhu signálu pro SIGSYS. Tento obslužný program kontroluje a upravuje registry vlákna a umožňuje malwaru manipulovat s argumenty systémového volání 'open()'. Výzkumníci vysvětlují, že tato manipulace přesměruje kód proti neoprávněným úpravám tak, aby se zobrazila nezměněná verze souboru APK.

Díky svému cílenému přístupu má filtr seccomp minimální dopad na výkon a provozní stopu, takže je nepravděpodobné, že by uživatelé při běžném používání aplikace detekovali abnormality.

Snowblind umožňuje útočníkům provádět různé škodlivé akce

Zdá se, že metoda použitá při útocích Snowblind je relativně neznámá a výzkumníci naznačují, že většina aplikací není vybavena k obraně proti ní. Tento typ útoku funguje diskrétně a představuje značné riziko ohrožení přihlašovacích údajů. Malware má navíc schopnost deaktivovat kritické funkce zabezpečení aplikací, jako je dvoufaktorové ověřování a biometrické ověření.

Útočníci mohou tuto techniku využít k přístupu k citlivým informacím na obrazovce, procházení zařízení, manipulaci s aplikacemi a obcházení bezpečnostních protokolů automatizací akcí, které obvykle vyžadují interakci uživatele. Navíc mohou extrahovat osobně identifikovatelné informace a transakční data.

Rozsah dopadu útočné kampaně Snowblind na aplikace zůstává nejasný. Kromě toho existuje obava, že další aktéři hrozeb by mohli tuto metodu přijmout, aby se v budoucnu vyhnuli ochraně Androidu.