Snowblind Mobile Malware

មេរោគ Android ប្រលោមលោកដែលត្រូវបានតាមដានថា Snowblind កេងប្រវ័ញ្ចមុខងារសុវត្ថិភាព ដើម្បីជៀសផុតពីការការពារប្រឆាំងនឹងការរំខានបច្ចុប្បន្ននៅក្នុងកម្មវិធីដែលគ្រប់គ្រងទិន្នន័យអ្នកប្រើប្រាស់ដែលងាយរងគ្រោះ។ Snowblind មានគោលបំណងវេចខ្ចប់កម្មវិធីគោលដៅឡើងវិញ ដូច្នេះពួកគេមិនអាចរកឃើញការប្រើប្រាស់សេវាកម្មមធ្យោបាយងាយស្រួលនោះទេ។ នេះអនុញ្ញាតឱ្យមេរោគចាប់យកធាតុចូលរបស់អ្នកប្រើប្រាស់ដូចជាព័ត៌មានសម្ងាត់ ឬទទួលបានការគ្រប់គ្រងពីចម្ងាយ ដើម្បីធ្វើសកម្មភាពព្យាបាទ។

អ្វីដែលកំណត់ Snowblind ខុសពីមេរោគ Android ផ្សេងទៀតគឺការកេងប្រវ័ញ្ចរបស់វាទៅលើ 'seccomp' (secure computing) ដែលជាលក្ខណៈពិសេសរបស់ Linux kernel ដែលប្រើដោយ Android សម្រាប់ការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃកម្មវិធី។ មុខងារនេះមានគោលបំណងការពារអ្នកប្រើប្រាស់ពីសកម្មភាពដែលមិនមានសុវត្ថិភាពដូចជាការវេចខ្ចប់កម្មវិធីឡើងវិញ។

ការទាញយកលក្ខណៈពិសេសសុវត្ថិភាពដើម្បីសម្របសម្រួលឧបករណ៍

ការវិភាគអំពី Snowblind បង្ហាញពីវិធីសាស្រ្តច្នៃប្រឌិតថ្មីរបស់ខ្លួនក្នុងការវាយប្រហារលើកម្មវិធី Android តាមរយៈការកេងប្រវ័ញ្ចលើមុខងារ Linux kernel 'seccomp ។' Seccomp គឺជាយន្តការសុវត្ថិភាពដែលកំណត់ការហៅរបស់ប្រព័ន្ធ (syscalls) កម្មវិធីអាចដំណើរការ ដោយកាត់បន្ថយផ្ទៃវាយប្រហាររបស់ពួកគេ។ រួមបញ្ចូលដំបូងដោយ Google នៅក្នុង Android 8 (Oreo) seccomp ត្រូវបានអនុវត្តនៅក្នុងដំណើរការ Zygote ដែលជាដំណើរការមេសម្រាប់កម្មវិធី Android ទាំងអស់។

Snowblind ផ្តោតជាពិសេសទៅលើកម្មវិធីដែលគ្រប់គ្រងទិន្នន័យរសើបដោយបញ្ចូលបណ្ណាល័យដើមដែលផ្ទុកមុននឹងយន្តការប្រឆាំងនឹងការរំខាន។ វាដំឡើងតម្រង seccomp ដើម្បីស្ទាក់ចាប់ syscalls ដូចជា 'open()' ដែលប្រើជាទូទៅសម្រាប់ការចូលប្រើឯកសារ។ កំឡុងពេលត្រួតពិនិត្យ APK របស់កម្មវិធីគោលដៅ តម្រង seccomp របស់ Snowblind ការពារ syscalls ដែលគ្មានការអនុញ្ញាត និងបង្កឱ្យមានសញ្ញា SIGSYS ដែលបង្ហាញពីអាគុយម៉ង់ syscall មិនត្រឹមត្រូវ។

ដើម្បីចៀសវាងការរកឃើញ Snowblind ដំឡើងឧបករណ៍ដោះស្រាយសញ្ញាសម្រាប់ SIGSYS ។ អ្នកគ្រប់គ្រងនេះត្រួតពិនិត្យ និងកែប្រែការចុះឈ្មោះរបស់ខ្សែស្រឡាយ ដោយបើកដំណើរការមេរោគដើម្បីគ្រប់គ្រងអាគុយម៉ង់នៃ 'open()' syscall ។ អ្នកស្រាវជ្រាវពន្យល់ថាឧបាយកលនេះបង្វែរកូដប្រឆាំងនឹងការរំខានដើម្បីមើលកំណែ APK ដែលមិនផ្លាស់ប្តូរ។

ដោយសារតែវិធីសាស្រ្តដែលបានកំណត់គោលដៅរបស់វា តម្រង seccomp ធ្វើឱ្យមានផលប៉ះពាល់តិចតួចបំផុត និងដំណើរការប្រតិបត្តិការ ដែលធ្វើឱ្យវាមិនទំនងសម្រាប់អ្នកប្រើប្រាស់ក្នុងការរកឃើញបញ្ហាមិនប្រក្រតីអំឡុងពេលប្រើប្រាស់កម្មវិធីធម្មតា។

Snowblind អនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើសកម្មភាពបង្កគ្រោះថ្នាក់ផ្សេងៗ

វិធីសាស្ត្រដែលប្រើក្នុងការវាយប្រហារ Snowblind ហាក់ដូចជាមិនសូវស្គាល់ ហើយអ្នកស្រាវជ្រាវបង្ហាញថាកម្មវិធីភាគច្រើនមិនត្រូវបានបំពាក់ដើម្បីការពារប្រឆាំងនឹងវាទេ។ ប្រភេទនៃការវាយប្រហារនេះដំណើរការដោយមិនដឹងខ្លួន ដែលបង្កហានិភ័យយ៉ាងសំខាន់ក្នុងការបំផ្លាញព័ត៌មានសម្ងាត់នៃការចូល។ លើសពីនេះទៅទៀត មេរោគនេះមានសមត្ថភាពបិទមុខងារសុវត្ថិភាពកម្មវិធីសំខាន់ៗ ដូចជាការផ្ទៀងផ្ទាត់ពីរកត្តា និងការផ្ទៀងផ្ទាត់ជីវមាត្រ។

អ្នកវាយប្រហារអាចប្រើបច្ចេកទេសនេះ ដើម្បីចូលប្រើព័ត៌មាននៅលើអេក្រង់ដ៏រសើប រុករកឧបករណ៍ រៀបចំកម្មវិធី និងជៀសផុតពីពិធីការសុវត្ថិភាពដោយដំណើរការដោយស្វ័យប្រវត្តិនូវសកម្មភាពដែលជាធម្មតាតម្រូវឱ្យមានអន្តរកម្មអ្នកប្រើប្រាស់។ លើសពីនេះ ពួកគេអាចទាញយកព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួន និងទិន្នន័យប្រតិបត្តិការបាន។

វិសាលភាពនៃឥទ្ធិពលនៃយុទ្ធនាការវាយប្រហារ Snowblind លើកម្មវិធីនៅតែមិនច្បាស់លាស់។ លើសពីនេះ មានការបារម្ភថា តួអង្គគម្រាមកំហែងផ្សេងទៀតអាចទទួលយកវិធីសាស្រ្តនេះ ដើម្បីគេចចេញពីការការពារ Android នាពេលអនាគត។