Snowblind Mobile Malware

Novi zlonamjerni softver za Android koji se prati kao Snowblind iskorištava sigurnosnu značajku za zaobilaženje trenutne zaštite od neovlaštenog mijenjanja u aplikacijama koje upravljaju osjetljivim korisničkim podacima. Snowblind ima za cilj prepakirati ciljane aplikacije tako da ne mogu otkriti zlouporabu usluga pristupačnosti. To omogućuje zlonamjernom softveru da uhvati korisničke unose poput vjerodajnica ili dobije daljinsku kontrolu za izvođenje zlonamjernih aktivnosti.

Ono što izdvaja Snowblind od ostalih zlonamjernih programa za Android je njegovo iskorištavanje 'seccomp' (sigurno računalstvo), značajke jezgre Linuxa koju Android koristi za provjere integriteta aplikacija. Ova je značajka namijenjena zaštiti korisnika od nesigurnih radnji poput ponovnog pakiranja aplikacije.

Iskorištavanje sigurnosnih značajki za kompromitiranje uređaja

Analiza Snowblinda otkriva njegovu inovativnu metodu napada na Android aplikacije kroz iskorištavanje značajke jezgre Linuxa 'seccomp'. Seccomp je sigurnosni mehanizam koji ograničava sistemske pozive (syscalls) koje aplikacije mogu izvesti, čime se smanjuje njihova površina napada. Google je prvobitno integrirao u Android 8 (Oreo), seccomp je implementiran unutar procesa Zygote, nadređenog procesa za sve Android aplikacije.

Snowblind posebno cilja aplikacije koje rukuju osjetljivim podacima ubacivanjem izvorne biblioteke koja se učitava prije mehanizama protiv neovlaštenog mijenjanja. Instalira seccomp filter za presretanje sistemskih poziva poput 'open()', koji se obično koristi za pristup datotekama. Tijekom neovlaštenih provjera APK-a ciljne aplikacije, Snowblindov seccomp filtar sprječava neovlaštene sistemske pozive i pokreće signal SIGSYS, što ukazuje na nevažeći argument sistemskog poziva.

Kako bi zaobišao otkrivanje, Snowblind instalira rukovatelj signala za SIGSYS. Ovaj rukovatelj provjerava i modificira registre niti, omogućujući zlonamjernom softveru da manipulira argumentima 'open()' syscall-a. Istraživači objašnjavaju da ova manipulacija preusmjerava kod protiv neovlaštenog mijenjanja za pregled nepromijenjene verzije APK-a.

Zbog svog ciljanog pristupa, filtar seccomp nameće minimalan utjecaj na performanse i operativni otisak, zbog čega je malo vjerojatno da će korisnici otkriti abnormalnosti tijekom redovite upotrebe aplikacije.

Snowblind omogućuje napadačima izvođenje raznih štetnih radnji

Čini se da je metoda korištena u napadima Snowblinda relativno nepoznata, a istraživači pokazuju da većina aplikacija nije opremljena za obranu od nje. Ova vrsta napada djeluje diskretno, predstavljajući značajan rizik od ugrožavanja vjerodajnica za prijavu. Štoviše, zlonamjerni softver ima mogućnost onemogućiti kritične sigurnosne značajke aplikacije kao što su dvofaktorska autentifikacija i biometrijska verifikacija.

Napadači mogu iskoristiti ovu tehniku za pristup osjetljivim informacijama na zaslonu, navigaciju uređajima, manipuliranje aplikacijama i zaobilaženje sigurnosnih protokola automatiziranjem radnji koje obično zahtijevaju interakciju korisnika. Osim toga, mogu izvući osobne podatke i podatke o transakcijama.

Opseg utjecaja kampanje napada Snowblind na aplikacije ostaje nejasan. Nadalje, postoji zabrinutost da bi drugi akteri prijetnji mogli usvojiti ovu metodu za izbjegavanje zaštite Androida u budućnosti.