Snowblind Mobile Malware

En ny Android-malware, der spores som Snowblind, udnytter en sikkerhedsfunktion til at omgå nuværende anti-manipulationsbeskyttelse i apps, der administrerer følsomme brugerdata. Snowblind sigter mod at ompakke målapplikationer, så de ikke kan opdage misbrug af tilgængelighedstjenester. Dette gør det muligt for malware at fange brugerinput såsom legitimationsoplysninger eller få fjernbetjening til at udføre ondsindede aktiviteter.

Det, der adskiller Snowblind fra anden Android-malware, er dens udnyttelse af 'seccomp' (secure computing), en Linux-kernefunktion, der bruges af Android til kontrol af applikationsintegritet. Denne funktion er beregnet til at beskytte brugere mod usikre handlinger såsom ompakning af applikationer.

Udnyttelse af sikkerhedsfunktioner til at kompromittere enheder

Analyse af Snowblind afslører dens innovative metode til at angribe Android-applikationer gennem udnyttelsen af Linux-kernefunktionen 'seccomp'. Seccomp er en sikkerhedsmekanisme, der begrænser de systemopkald (syscalls) applikationer kan udføre, og derved reducerer deres angrebsoverflade. Oprindeligt integreret af Google i Android 8 (Oreo), blev seccomp implementeret i Zygote-processen, moderprocessen for alle Android-applikationer.

Snowblind retter sig specifikt mod applikationer, der håndterer følsomme data, ved at injicere et indbygget bibliotek, der indlæses før anti-manipulationsmekanismer. Den installerer et seccomp-filter til at opsnappe syscalls som 'open()', der almindeligvis bruges til filadgang. Under manipulationstjek af målapplikationens APK, forhindrer Snowblinds seccomp-filter uautoriserede syscalls og udløser et SIGSYS-signal, hvilket indikerer et ugyldigt syscall-argument.

For at omgå detektering installerer Snowblind en signalbehandler til SIGSYS. Denne behandler inspicerer og modificerer trådens registre, hvilket gør det muligt for malwaren at manipulere argumenterne i 'open()'-syscallet. Forskere forklarer, at denne manipulation omdirigerer anti-manipulationskoden for at se en uændret version af APK.

På grund af dets målrettede tilgang pålægger seccomp-filteret minimal præstationspåvirkning og operationelt fodaftryk, hvilket gør det usandsynligt for brugere at opdage abnormiteter under regelmæssig applikationsbrug.

Snowblind giver angriberne mulighed for at udføre forskellige skadelige handlinger

Metoden, der anvendes i Snowblind-angreb, ser ud til at være relativt ukendt, og forskere indikerer, at de fleste apps ikke er udstyret til at forsvare sig mod det. Denne type angreb fungerer diskret, hvilket udgør en betydelig risiko for at kompromittere loginoplysninger. Desuden har malwaren mulighed for at deaktivere kritiske app-sikkerhedsfunktioner såsom to-faktor-godkendelse og biometrisk verifikation.

Angribere kan udnytte denne teknik til at få adgang til følsomme oplysninger på skærmen, navigere på enheder, manipulere applikationer og omgå sikkerhedsprotokoller ved at automatisere handlinger, der typisk kræver brugerinteraktion. Derudover kan de udtrække personligt identificerbare oplysninger og transaktionsdata.

Omfanget af Snowblind-angrebskampagnens indvirkning på applikationer er stadig uklart. Desuden er der bekymring for, at andre trusselsaktører kunne anvende denne metode for at undgå Android-beskyttelse i fremtiden.