Snowblind Mobile Malware

Ένα νέο κακόβουλο λογισμικό Android που παρακολουθείται ως Snowblind εκμεταλλεύεται μια δυνατότητα ασφαλείας για να παρακάμψει τις τρέχουσες προστασίες κατά της παραβίασης σε εφαρμογές που διαχειρίζονται ευαίσθητα δεδομένα χρήστη. Το Snowblind στοχεύει να επανασυσκευάσει τις εφαρμογές-στόχους, ώστε να μην μπορούν να εντοπίσουν την κακή χρήση των υπηρεσιών προσβασιμότητας. Αυτό επιτρέπει στο κακόβουλο λογισμικό να συλλαμβάνει εισόδους χρήστη όπως διαπιστευτήρια ή να αποκτά απομακρυσμένο έλεγχο για την εκτέλεση κακόβουλων δραστηριοτήτων.

Αυτό που ξεχωρίζει το Snowblind από άλλα κακόβουλα προγράμματα Android είναι η εκμετάλλευση του «seccomp» (ασφαλής υπολογισμός), μια δυνατότητα πυρήνα Linux που χρησιμοποιείται από το Android για ελέγχους ακεραιότητας εφαρμογών. Αυτή η λειτουργία προορίζεται για την προστασία των χρηστών από μη ασφαλείς ενέργειες όπως η επανασυσκευασία εφαρμογών.

Εκμετάλλευση λειτουργιών ασφαλείας για παραβίαση συσκευών

Η ανάλυση του Snowblind αποκαλύπτει την καινοτόμο μέθοδο επίθεσης σε εφαρμογές Android μέσω της εκμετάλλευσης της δυνατότητας πυρήνα Linux «seccomp». Το Seccomp είναι ένας μηχανισμός ασφαλείας που περιορίζει τις κλήσεις συστήματος (syscalls) που μπορούν να εκτελέσουν οι εφαρμογές, μειώνοντας έτσι την επιφάνεια επίθεσης τους. Αρχικά ενσωματώθηκε από την Google στο Android 8 (Oreo), το seccomp εφαρμόστηκε στη διαδικασία Zygote, τη γονική διαδικασία για όλες τις εφαρμογές Android.

Το Snowblind στοχεύει συγκεκριμένα εφαρμογές που χειρίζονται ευαίσθητα δεδομένα εισάγοντας μια εγγενή βιβλιοθήκη που φορτώνεται πριν από μηχανισμούς κατά της παραβίασης. Εγκαθιστά ένα φίλτρο seccomp για να παρεμποδίζει τις κλήσεις συστήματος όπως το 'open()', που χρησιμοποιείται συνήθως για πρόσβαση σε αρχεία. Κατά τους ελέγχους παραβίασης του APK της εφαρμογής προορισμού, το φίλτρο seccomp του Snowblind αποτρέπει μη εξουσιοδοτημένες κλήσεις συστήματος και ενεργοποιεί ένα σήμα SIGSYS, υποδεικνύοντας ένα μη έγκυρο όρισμα syscall.

Για να παρακάμψει την ανίχνευση, το Snowblind εγκαθιστά έναν χειριστή σήματος για το SIGSYS. Αυτός ο χειριστής επιθεωρεί και τροποποιεί τους καταχωρητές του νήματος, επιτρέποντας στο κακόβουλο λογισμικό να χειρίζεται τα ορίσματα του syscall 'open()'. Οι ερευνητές εξηγούν ότι αυτός ο χειρισμός ανακατευθύνει τον κώδικα κατά της παραβίασης για να προβάλει μια μη τροποποιημένη έκδοση του APK.

Λόγω της στοχευμένης προσέγγισής του, το φίλτρο seccomp επιβάλλει ελάχιστο αντίκτυπο στην απόδοση και λειτουργικό αποτύπωμα, καθιστώντας απίθανο για τους χρήστες να εντοπίσουν ανωμαλίες κατά την τακτική χρήση της εφαρμογής.

Το Snowblind επιτρέπει στους επιτιθέμενους να εκτελούν διάφορες επιβλαβείς ενέργειες

Η μέθοδος που χρησιμοποιείται στις επιθέσεις Snowblind φαίνεται να είναι σχετικά άγνωστη και οι ερευνητές αναφέρουν ότι οι περισσότερες εφαρμογές δεν είναι εξοπλισμένες για να αμυνθούν από αυτήν. Αυτός ο τύπος επίθεσης λειτουργεί διακριτικά, θέτοντας σημαντικό κίνδυνο να τεθούν σε κίνδυνο τα διαπιστευτήρια σύνδεσης. Επιπλέον, το κακόβουλο λογισμικό έχει τη δυνατότητα να απενεργοποιεί κρίσιμα χαρακτηριστικά ασφαλείας εφαρμογών, όπως έλεγχο ταυτότητας δύο παραγόντων και βιομετρική επαλήθευση.

Οι εισβολείς μπορούν να αξιοποιήσουν αυτήν την τεχνική για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες στην οθόνη, να πλοηγηθούν σε συσκευές, να χειριστούν εφαρμογές και να παρακάμψουν πρωτόκολλα ασφαλείας αυτοματοποιώντας ενέργειες που απαιτούν συνήθως αλληλεπίδραση με τον χρήστη. Επιπλέον, μπορούν να εξάγουν στοιχεία προσωπικής ταυτοποίησης και δεδομένα συναλλαγών.

Η έκταση του αντίκτυπου της καμπάνιας επίθεσης Snowblind στις εφαρμογές παραμένει ασαφής. Επιπλέον, υπάρχει ανησυχία ότι άλλοι παράγοντες απειλών θα μπορούσαν να υιοθετήσουν αυτήν τη μέθοδο για να αποφύγουν τις προστασίες Android στο μέλλον.