Snowblind Mobile kenkėjiška programa

Nauja „Android“ kenkėjiška programa, stebima kaip „Snowblind“, naudoja saugos funkciją, kad apeitų dabartinę apsaugą nuo klastojimo programose, kurios tvarko jautrius vartotojo duomenis. „Snowblind“ siekia perpakuoti tikslines programas, kad jos negalėtų aptikti netinkamo pritaikymo neįgaliesiems paslaugų naudojimo. Tai leidžia kenkėjiškajai programai užfiksuoti naudotojo įvestus duomenis, pvz., kredencialus, arba gauti nuotolinį valdymą, kad būtų galima vykdyti kenkėjišką veiklą.

„Snowblind“ iš kitų „Android“ kenkėjiškų programų išskiria tai, kad ji naudoja „seccomp“ (saugų skaičiavimą), „Linux“ branduolio funkciją, kurią „Android“ naudoja programos vientisumui tikrinti. Ši funkcija skirta apsaugoti vartotojus nuo nesaugių veiksmų, pvz., programų perpakavimo.

Saugos funkcijų naudojimas siekiant pažeisti įrenginius

„Snowblind“ analizė atskleidžia naujovišką metodą, kaip atakuoti „Android“ programas, naudojant „Linux“ branduolio funkciją „seccomp“. „Seccomp“ yra saugos mechanizmas, ribojantis sistemos iškvietimus (syscalls), kuriuos gali atlikti programos, taip sumažinant jų atakų paviršių. Iš pradžių „Google“ integravo į „Android 8“ („Oreo“), „seccomp“ buvo įdiegtas „Zygote“ procese, visų „Android“ programų pirminiame procese.

„Snowblind“ specialiai taiko programas, apdorojančias jautrius duomenis, įterpdamas savąją biblioteką, kuri įkeliama prieš taikant apsaugos nuo klastojimo mechanizmus. Jis įdiegia seccomp filtrą, kad perimtų syscall, pvz., „open()“, dažniausiai naudojamą prieigai prie failų. Atliekant tikslinės programos APK klastojimo patikras, Snowblind seccomp filtras apsaugo nuo neteisėtų syscall ir suaktyvina SIGSYS signalą, nurodydamas netinkamą syscall argumentą.

Siekdama apeiti aptikimą, Snowblind įdiegia SIGSYS signalų tvarkyklę. Ši tvarkytoja tikrina ir modifikuoja gijos registrus, kad kenkėjiška programa galėtų manipuliuoti „open()“ syscall argumentais. Tyrėjai aiškina, kad ši manipuliacija nukreipia apsaugos nuo klastojimo kodą, kad būtų galima peržiūrėti nepakeistą APK versiją.

Dėl savo tikslingo požiūrio, seccomp filtras daro minimalų poveikį našumui ir veikimo pėdsaką, todėl mažai tikėtina, kad naudotojai aptiks nukrypimus įprastu programos naudojimu.

Snowblind leidžia užpuolikams atlikti įvairius žalingus veiksmus

Atrodo, kad „Snowblind“ atakų metodas yra gana nežinomas, o mokslininkai nurodo, kad dauguma programų nėra pritaikytos apsiginti nuo jo. Šio tipo atakos veikia diskretiškai, todėl kyla didelė rizika pažeisti prisijungimo duomenis. Be to, kenkėjiška programa gali išjungti svarbias programos saugos funkcijas, tokias kaip dviejų veiksnių autentifikavimas ir biometrinis patvirtinimas.

Užpuolikai gali panaudoti šią techniką norėdami pasiekti slaptą informaciją ekrane, naršyti įrenginius, manipuliuoti programomis ir apeiti saugos protokolus automatizuodami veiksmus, kuriems paprastai reikia vartotojo sąveikos. Be to, jie gali išgauti asmenį identifikuojančią informaciją ir operacijų duomenis.

„Snowblind“ atakos kampanijos poveikio programoms mastas lieka neaiškus. Be to, nerimaujama, kad kiti grėsmės veikėjai gali pritaikyti šį metodą, kad išvengtų „Android“ apsaugos ateityje.