Snowblind Mobile Malware

A Snowblind néven nyomon követett új androidos rosszindulatú program egy biztonsági funkciót használ ki az érzékeny felhasználói adatokat kezelő alkalmazások jelenlegi manipuláció elleni védelmének megkerülésére. A Snowblind célja a célalkalmazások újracsomagolása, így azok nem észlelhetik a kisegítő szolgáltatásokkal való visszaélést. Ez lehetővé teszi a rosszindulatú programok számára, hogy rögzítsék a felhasználói bemeneteket, például a hitelesítő adatokat, vagy távirányítót szerezzenek rosszindulatú tevékenységek végrehajtásához.

A Snowblind-ot az különbözteti meg a többi Android-rosszindulatú programtól, hogy kihasználja a „seccomp” (biztonságos számítástechnika), egy Linux-kernel-funkciót, amelyet az Android az alkalmazások integritásának ellenőrzésére használ. Ennek a funkciónak a célja, hogy megvédje a felhasználókat a nem biztonságos műveletektől, például az alkalmazások újracsomagolásától.

A biztonsági funkciók kihasználása az eszközök veszélyeztetésére

A Snowblind elemzése feltárja innovatív módszerét az Android-alkalmazások megtámadására a Linux kernel „seccomp” funkciójának kihasználásával. A Seccomp egy biztonsági mechanizmus, amely korlátozza az alkalmazások rendszerhívásait (syscalls), ezáltal csökkentve a támadási felületüket. A Google által eredetileg Android 8-ba (Oreo) integrált seccompot a Zygote folyamaton belül valósították meg, amely az összes Android-alkalmazás szülőfolyamata.

A Snowblind kifejezetten az érzékeny adatokat kezelő alkalmazásokat célozza meg egy natív könyvtár beillesztésével, amely a manipuláció elleni mechanizmusok előtt betöltődik. Egy seccomp szűrőt telepít a rendszerhívások elfogására, mint például az „open()”, amelyet általában fájlelérésre használnak. A célalkalmazás APK-jának szabotázsellenőrzése során a Snowblind seccomp szűrője megakadályozza a jogosulatlan rendszerhívásokat, és SIGSYS jelet indít el, ami érvénytelen syscall argumentumot jelez.

Az észlelés megkerülésére a Snowblind jelkezelőt telepít a SIGSYS-hez. Ez a kezelő ellenőrzi és módosítja a szál regisztereit, lehetővé téve a rosszindulatú program számára, hogy manipulálja az „open()” rendszerhívás argumentumait. A kutatók magyarázata szerint ez a manipuláció átirányítja a manipuláció elleni kódot az APK változatlan verziójának megtekintéséhez.

Célzott megközelítésének köszönhetően a seccomp szűrő minimális hatást gyakorol a teljesítményre és a működési lábnyomra, így nem valószínű, hogy a felhasználók észlelnek rendellenességeket az alkalmazás rendszeres használata során.

Snowblind lehetővé teszi a támadók számára, hogy különféle ártalmas műveleteket hajtsanak végre

A Snowblind támadásoknál alkalmazott módszer viszonylag ismeretlennek tűnik, és a kutatók szerint a legtöbb alkalmazás nincs felszerelve az ellene való védekezésre. Az ilyen típusú támadások diszkréten működnek, és jelentős kockázatot jelentenek a bejelentkezési adatok veszélyeztetésére. Ezenkívül a rosszindulatú program képes letiltani a kritikus alkalmazásbiztonsági funkciókat, például a kéttényezős hitelesítést és a biometrikus ellenőrzést.

A támadók kihasználhatják ezt a technikát, hogy hozzáférjenek a képernyőn megjelenő érzékeny információkhoz, navigáljanak az eszközökön, manipulálják az alkalmazásokat, és megkerüljék a biztonsági protokollokat azáltal, hogy automatizálják a műveleteket, amelyek általában felhasználói beavatkozást igényelnek. Ezenkívül személyazonosításra alkalmas információkat és tranzakciós adatokat is kinyerhetnek.

Továbbra sem világos, hogy a Snowblind támadási kampány milyen hatással van az alkalmazásokra. Ezenkívül aggodalomra ad okot, hogy más fenyegetés szereplői alkalmazhatják ezt a módszert, hogy a jövőben elkerüljék az Android védelmet.