Snowblind Mobile Malware

स्नोब्लाइंड के रूप में ट्रैक किया गया एक नया एंड्रॉइड मैलवेयर संवेदनशील उपयोगकर्ता डेटा को प्रबंधित करने वाले ऐप्स में मौजूदा एंटी-टैम्परिंग सुरक्षा को बायपास करने के लिए एक सुरक्षा सुविधा का फायदा उठाता है। स्नोब्लाइंड का लक्ष्य लक्षित एप्लिकेशन को फिर से पैकेज करना है ताकि वे एक्सेसिबिलिटी सेवाओं के दुरुपयोग का पता न लगा सकें। यह मैलवेयर को क्रेडेंशियल जैसे उपयोगकर्ता इनपुट को कैप्चर करने या दुर्भावनापूर्ण गतिविधियों को करने के लिए रिमोट कंट्रोल प्राप्त करने की अनुमति देता है।

स्नोब्लाइंड को अन्य एंड्रॉयड मैलवेयर से अलग करने वाली बात यह है कि यह 'सेकम्प' (सिक्योर कंप्यूटिंग) का शोषण करता है, जो कि एंड्रॉयड द्वारा एप्लीकेशन अखंडता जांच के लिए इस्तेमाल किया जाने वाला लिनक्स कर्नेल फीचर है। इस फीचर का उद्देश्य एप्लीकेशन रीपैकेजिंग जैसी असुरक्षित कार्रवाइयों से उपयोगकर्ताओं को बचाना है।

डिवाइस को जोखिम में डालने के लिए सुरक्षा सुविधाओं का दुरुपयोग

स्नोब्लाइंड के विश्लेषण से पता चलता है कि यह लिनक्स कर्नेल फीचर 'सेकम्प' के शोषण के माध्यम से एंड्रॉइड एप्लिकेशन पर हमला करने का एक अभिनव तरीका है। सेकम्प एक सुरक्षा तंत्र है जो सिस्टम कॉल (सिस्टकॉल) को सीमित करता है जो एप्लिकेशन कर सकते हैं, जिससे उनके हमले की सतह कम हो जाती है। शुरुआत में Google द्वारा Android 8 (Oreo) में एकीकृत, सेकम्प को Zygote प्रक्रिया के भीतर लागू किया गया था, जो सभी Android एप्लिकेशन के लिए मूल प्रक्रिया है।

स्नोब्लाइंड विशेष रूप से संवेदनशील डेटा को संभालने वाले अनुप्रयोगों को लक्षित करता है, जो एंटी-टैम्परिंग तंत्र से पहले लोड होने वाली एक मूल लाइब्रेरी को इंजेक्ट करता है। यह 'open()' जैसे सिस्टम कॉल को रोकने के लिए एक सेकम्प फ़िल्टर स्थापित करता है, जिसका उपयोग आमतौर पर फ़ाइल एक्सेस के लिए किया जाता है। लक्ष्य एप्लिकेशन के APK की छेड़छाड़ जाँच के दौरान, स्नोब्लाइंड का सेकम्प फ़िल्टर अनधिकृत सिस्टम कॉल को रोकता है और एक SIGSYS सिग्नल को ट्रिगर करता है, जो एक अमान्य सिस्टम कॉल तर्क को इंगित करता है।

पता लगाने से बचने के लिए, स्नोब्लाइंड SIGSYS के लिए एक सिग्नल हैंडलर स्थापित करता है। यह हैंडलर थ्रेड के रजिस्टरों का निरीक्षण और संशोधन करता है, जिससे मैलवेयर 'open()' सिस्टम कॉल के तर्कों में हेरफेर करने में सक्षम हो जाता है। शोधकर्ता बताते हैं कि यह हेरफेर एंटी-टैम्परिंग कोड को APK के अपरिवर्तित संस्करण को देखने के लिए पुनर्निर्देशित करता है।

अपने लक्षित दृष्टिकोण के कारण, सेकम्प फिल्टर न्यूनतम प्रदर्शन प्रभाव और परिचालन पदचिह्न लगाता है, जिससे उपयोगकर्ताओं के लिए नियमित अनुप्रयोग उपयोग के दौरान असामान्यताओं का पता लगाना असंभव हो जाता है।

स्नोब्लाइंड हमलावरों को विभिन्न हानिकारक क्रियाएं करने की अनुमति देता है

स्नोब्लाइंड हमलों में इस्तेमाल की जाने वाली विधि अपेक्षाकृत अज्ञात प्रतीत होती है, और शोधकर्ता संकेत देते हैं कि अधिकांश ऐप इससे बचाव करने के लिए सुसज्जित नहीं हैं। इस प्रकार का हमला गुप्त रूप से संचालित होता है, जिससे लॉगिन क्रेडेंशियल से समझौता करने का एक बड़ा जोखिम पैदा होता है। इसके अलावा, मैलवेयर में दो-कारक प्रमाणीकरण और बायोमेट्रिक सत्यापन जैसी महत्वपूर्ण ऐप सुरक्षा सुविधाओं को अक्षम करने की क्षमता होती है।

हमलावर इस तकनीक का लाभ उठाकर स्क्रीन पर संवेदनशील जानकारी तक पहुँच सकते हैं, डिवाइस को नेविगेट कर सकते हैं, एप्लिकेशन में हेरफेर कर सकते हैं और उन क्रियाओं को स्वचालित करके सुरक्षा प्रोटोकॉल को दरकिनार कर सकते हैं जिनके लिए आमतौर पर उपयोगकर्ता की सहभागिता की आवश्यकता होती है। इसके अतिरिक्त, वे व्यक्तिगत रूप से पहचान योग्य जानकारी और लेन-देन संबंधी डेटा निकाल सकते हैं।

स्नोब्लाइंड हमले अभियान का अनुप्रयोगों पर कितना प्रभाव पड़ेगा, यह अभी भी स्पष्ट नहीं है। इसके अलावा, इस बात की भी चिंता है कि भविष्य में अन्य ख़तरा पैदा करने वाले लोग एंड्रॉयड सुरक्षा से बचने के लिए इस तरीके को अपना सकते हैं।