Malware mobile Snowblind

Un nuovo malware Android tracciato come Snowblind sfrutta una funzionalità di sicurezza per aggirare le attuali protezioni anti-manomissione nelle app che gestiscono dati sensibili degli utenti. Snowblind mira a riconfezionare le applicazioni target in modo che non possano rilevare l'uso improprio dei servizi di accessibilità. Ciò consente al malware di acquisire input dell'utente come credenziali o ottenere il controllo remoto per eseguire attività dannose.

Ciò che distingue Snowblind dagli altri malware Android è lo sfruttamento di "seccomp" (secure computing), una funzionalità del kernel Linux utilizzata da Android per i controlli di integrità delle applicazioni. Questa funzionalità ha lo scopo di salvaguardare gli utenti da azioni non sicure come il riconfezionamento delle applicazioni.

Sfruttare le funzionalità di sicurezza per compromettere i dispositivi

L'analisi di Snowblind rivela il suo metodo innovativo di attaccare le applicazioni Android attraverso lo sfruttamento della funzionalità del kernel Linux "seccomp". Seccomp è un meccanismo di sicurezza che limita le chiamate di sistema (syscalls) che le applicazioni possono eseguire, riducendo così la loro superficie di attacco. Inizialmente integrato da Google in Android 8 (Oreo), seccomp è stato implementato all'interno del processo Zygote, il processo genitore di tutte le applicazioni Android.

Snowblind si rivolge specificamente alle applicazioni che gestiscono dati sensibili inserendo una libreria nativa che si carica prima dei meccanismi anti-manomissione. Installa un filtro seccomp per intercettare chiamate di sistema come 'open()', comunemente usate per l'accesso ai file. Durante i controlli di manomissione dell'APK dell'applicazione di destinazione, il filtro seccomp di Snowblind impedisce chiamate di sistema non autorizzate e attiva un segnale SIGSYS, che indica un argomento di chiamata di sistema non valido.

Per aggirare il rilevamento, Snowblind installa un gestore di segnale per SIGSYS. Questo gestore ispeziona e modifica i registri del thread, consentendo al malware di manipolare gli argomenti della chiamata di sistema "open()". I ricercatori spiegano che questa manipolazione reindirizza il codice antimanomissione per visualizzare una versione inalterata dell'APK.

Grazie al suo approccio mirato, il filtro seccomp impone un impatto minimo sulle prestazioni e un impatto operativo minimo, rendendo difficile per gli utenti rilevare anomalie durante l'utilizzo regolare dell'applicazione.

Snowblind consente agli aggressori di eseguire varie azioni dannose

Il metodo utilizzato negli attacchi Snowblind sembra essere relativamente sconosciuto e i ricercatori indicano che la maggior parte delle app non è attrezzata per difendersi da questo. Questo tipo di attacco funziona in modo discreto, presentando un rischio significativo di compromettere le credenziali di accesso. Inoltre, il malware ha la capacità di disabilitare funzionalità critiche di sicurezza delle app come l'autenticazione a due fattori e la verifica biometrica.

Gli aggressori possono sfruttare questa tecnica per accedere a informazioni sensibili visualizzate sullo schermo, navigare nei dispositivi, manipolare applicazioni ed eludere i protocolli di sicurezza automatizzando azioni che in genere richiedono l'interazione dell'utente. Inoltre, possono estrarre informazioni di identificazione personale e dati transazionali.

La portata dell'impatto della campagna di attacco Snowblind sulle applicazioni rimane poco chiara. Inoltre, si teme che altri autori di minacce possano adottare questo metodo in futuro per eludere le protezioni di Android.