Snowblind Mobile -haittaohjelma

Uusi Android-haittaohjelma, jota jäljitetään nimellä Snowblind, käyttää suojausominaisuutta ohittaakseen arkaluonteisia käyttäjätietoja hallinnoivien sovellusten nykyiset peukaloinnin eston suojaukset. Snowblind pyrkii pakata kohdesovellukset uudelleen, jotta ne eivät pysty havaitsemaan esteettömyyspalvelujen väärinkäyttöä. Näin haittaohjelmat voivat kaapata käyttäjän syötteitä, kuten valtuustietoja, tai saada kauko-ohjaimen haitallisten toimintojen suorittamiseen.

Se, mikä erottaa Snowblindin muista Android-haittaohjelmista, on sen "seccomp" (secure computing) hyödyntäminen, Linux-ytimen ominaisuus, jota Android käyttää sovellusten eheyden tarkistamiseen. Tämä ominaisuus on tarkoitettu suojaamaan käyttäjiä vaarallisilta toimilta, kuten sovellusten uudelleen pakkaamiselta.

Suojausominaisuuksien hyödyntäminen laitteiden vaarantamiseen

Snowblindin analyysi paljastaa sen innovatiivisen menetelmän hyökätä Android-sovelluksiin hyödyntämällä Linux-ytimen ominaisuutta "seccomp". Seccomp on suojausmekanismi, joka rajoittaa sovellusten suorittamia järjestelmäkutsuja (syscalls), mikä vähentää niiden hyökkäyspintaa. Googlen alun perin integroima Android 8:aan (Oreo) seccomp otettiin käyttöön Zygote-prosessissa, joka on kaikkien Android-sovellusten pääprosessi.

Snowblind kohdistaa erityisesti arkaluonteisia tietoja käsitteleviin sovelluksiin lisäämällä alkuperäisen kirjaston, joka latautuu ennen peukaloinnin estomekanismia. Se asentaa seccomp-suodattimen siepatakseen syscall-toiminnot, kuten "open()", joita käytetään yleisesti tiedostojen käyttöön. Kohdesovelluksen APK:n peukalointitarkistuksen aikana Snowblindin seccomp-suodatin estää luvattomat syscall-puhelut ja laukaisee SIGSYS-signaalin, joka osoittaa virheellisen syscall-argumentin.

Kiertääkseen havaitsemisen Snowblind asentaa signaalinkäsittelijän SIGSYS:lle. Tämä käsittelijä tarkastaa ja muokkaa säikeen rekistereitä, jolloin haittaohjelma voi manipuloida "open()"-sysscall-argumentteja. Tutkijat selittävät, että tämä manipulointi ohjaa peukaloinnin estävän koodin tarkastelemaan APK:n muuttumatonta versiota.

Kohdennettu lähestymistapansa ansiosta seccomp-suodatin vaikuttaa mahdollisimman vähän suorituskykyyn ja toiminnalliseen jalanjälkeen, mikä tekee siitä epätodennäköisen, että käyttäjät havaitsevat poikkeavuuksia sovelluksen säännöllisen käytön aikana.

Snowblind antaa hyökkääjille mahdollisuuden suorittaa erilaisia haitallisia toimia

Snowblind-hyökkäyksissä käytetty menetelmä näyttää olevan suhteellisen tuntematon, ja tutkijat osoittavat, että useimmat sovellukset eivät ole varustettuja puolustautumaan sitä vastaan. Tämäntyyppinen hyökkäys toimii huomaamattomasti, mikä aiheuttaa merkittävän riskin vaarantaa kirjautumistiedot. Lisäksi haittaohjelma pystyy poistamaan käytöstä tärkeitä sovellusten suojausominaisuuksia, kuten kaksivaiheisen todennuksen ja biometrisen vahvistuksen.

Hyökkääjät voivat hyödyntää tätä tekniikkaa päästäkseen käsiksi arkaluonteisiin näytöllä näkyviin tietoihin, navigoidakseen laitteissa, manipuloidakseen sovelluksia ja kiertääkseen suojausprotokollia automatisoimalla toimintoja, jotka vaativat tavallisesti käyttäjän toimia. Lisäksi he voivat poimia henkilökohtaisia tunnistetietoja ja tapahtumatietoja.

Snowblind-hyökkäyskampanjan vaikutus sovelluksiin on edelleen epäselvä. Lisäksi on huolestuttavaa, että muut uhkatoimijat voisivat omaksua tämän menetelmän välttääkseen Android-suojauksen tulevaisuudessa.