بدافزار موبایل Snowblind

بدافزار جدید اندروید که به‌عنوان Snowblind ردیابی می‌شود، از یک ویژگی امنیتی برای دور زدن حفاظت‌های ضد دستکاری فعلی در برنامه‌هایی که داده‌های حساس کاربر را مدیریت می‌کنند، استفاده می‌کند. Snowblind قصد دارد برنامه های مورد نظر را دوباره بسته بندی کند تا نتوانند سوء استفاده از خدمات دسترسی را تشخیص دهند. این به بدافزار اجازه می‌دهد تا ورودی‌های کاربر مانند اعتبارنامه‌ها را بگیرد یا برای انجام فعالیت‌های مخرب از راه دور کنترل کند.

چیزی که Snowblind را از سایر بدافزارهای اندرویدی متمایز می‌کند، بهره‌برداری آن از 'seccomp' (محاسبات امن) است، یک ویژگی هسته لینوکس که توسط اندروید برای بررسی یکپارچگی برنامه‌ها استفاده می‌شود. این ویژگی برای محافظت از کاربران در برابر اقدامات ناامن مانند بسته بندی مجدد برنامه در نظر گرفته شده است.

بهره برداری از ویژگی های امنیتی برای به خطر انداختن دستگاه ها

تجزیه و تحلیل Snowblind روش ابتکاری خود را برای حمله به برنامه های Android از طریق بهره برداری از ویژگی هسته لینوکس 'seccomp' نشان می دهد. Seccomp یک مکانیسم امنیتی است که تماس‌های سیستمی (syscalls) را که اپلیکیشن‌ها می‌توانند انجام دهند محدود می‌کند و در نتیجه سطح حمله آنها را کاهش می‌دهد. در ابتدا توسط گوگل در اندروید 8 (اوریو) ادغام شد، seccomp در فرآیند Zygote، فرآیند والد برای همه برنامه های اندروید، پیاده سازی شد.

Snowblind به طور خاص برنامه‌هایی را هدف قرار می‌دهد که داده‌های حساس را با تزریق یک کتابخانه بومی که قبل از مکانیسم‌های ضد دستکاری بارگذاری می‌شود، مورد هدف قرار می‌دهد. این یک فیلتر seccomp را برای رهگیری syscals مانند 'open()'، که معمولاً برای دسترسی به فایل استفاده می شود، نصب می کند. در طول بررسی های دستکاری APK برنامه مورد نظر، فیلتر seccomp Snowblind از syscals های غیرمجاز جلوگیری می کند و یک سیگنال SIGSYS را راه اندازی می کند که نشان دهنده یک آرگومان syscall نامعتبر است.

برای دور زدن تشخیص، Snowblind یک کنترل کننده سیگنال برای SIGSYS نصب می کند. این کنترل کننده رجیسترهای thread را بررسی و اصلاح می کند و بدافزار را قادر می سازد تا آرگومان های syscall "open()" را دستکاری کند. محققان توضیح می دهند که این دستکاری کد ضد دستکاری را برای مشاهده نسخه بدون تغییر APK هدایت می کند.

با توجه به رویکرد هدفمند خود، فیلتر seccomp کمترین تأثیر عملکرد و ردپای عملیاتی را اعمال می‌کند و تشخیص ناهنجاری‌ها را در طول استفاده منظم از برنامه برای کاربران بعید می‌سازد.

Snowblind به مهاجمان اجازه می دهد تا اقدامات مضر مختلفی را انجام دهند

به نظر می رسد روش به کار رفته در حملات Snowblind نسبتاً ناشناخته است و محققان نشان می دهند که اکثر برنامه ها برای دفاع در برابر آن مجهز نیستند. این نوع حمله به طور محتاطانه عمل می کند و خطر قابل توجهی را برای به خطر انداختن اعتبار ورود به سیستم ایجاد می کند. علاوه بر این، بدافزار این قابلیت را دارد که ویژگی‌های امنیتی مهم برنامه مانند احراز هویت دو مرحله‌ای و تأیید بیومتریک را غیرفعال کند.

مهاجمان می‌توانند از این تکنیک برای دسترسی به اطلاعات حساس روی صفحه، هدایت دستگاه‌ها، دستکاری برنامه‌ها و دور زدن پروتکل‌های امنیتی با خودکار کردن اقداماتی که معمولاً به تعامل کاربر نیاز دارند، استفاده کنند. علاوه بر این، آنها می توانند اطلاعات شناسایی شخصی و داده های معاملاتی را استخراج کنند.

میزان تأثیر کمپین حمله Snowblind بر برنامه ها هنوز مشخص نیست. علاوه بر این، این نگرانی وجود دارد که سایر بازیگران تهدید بتوانند از این روش برای فرار از محافظت های اندروید در آینده استفاده کنند.