Snowblind Mobile ļaunprogrammatūra

Jaunā Android ļaunprātīgā programmatūra, kas izsekota kā Snowblind, izmanto drošības līdzekli, lai apietu pašreizējo aizsardzību pret manipulācijām lietotnēs, kas pārvalda sensitīvus lietotāja datus. Snowblind mērķis ir pārsaiņot mērķa lietojumprogrammas, lai tās nevarētu atklāt pieejamības pakalpojumu ļaunprātīgu izmantošanu. Tas ļauj ļaunprātīgai programmatūrai tvert lietotāja ievadītos datus, piemēram, akreditācijas datus, vai iegūt tālvadības pulti, lai veiktu ļaunprātīgas darbības.

Snowblind atšķir no citām Android ļaunprogrammatūrām, jo tajā tiek izmantota “seccomp” (droša skaitļošana), Linux kodola funkcija, ko Android izmanto lietojumprogrammu integritātes pārbaudēm. Šī funkcija ir paredzēta, lai aizsargātu lietotājus pret nedrošām darbībām, piemēram, lietojumprogrammu pārsaiņošanu.

Drošības līdzekļu izmantošana, lai apdraudētu ierīces

Snowblind analīze atklāj tās novatorisko metodi, kā uzbrukt Android lietojumprogrammām, izmantojot Linux kodola funkciju "seccomp". Seccomp ir drošības mehānisms, kas ierobežo sistēmas zvanu (syscall) lietojumprogrammu veiktspēju, tādējādi samazinot to uzbrukuma virsmu. Sākotnēji Google integrēja operētājsistēmā Android 8 (Oreo), un seccomp tika ieviests Zygote procesā, kas ir visu Android lietojumprogrammu vecāku process.

Snowblind ir īpaši mērķēts uz lietojumprogrammām, kas apstrādā sensitīvus datus, ievadot vietējo bibliotēku, kas tiek ielādēta pirms manipulācijas novēršanas mehānismiem. Tas instalē seccomp filtru, lai pārtvertu syscalls, piemēram, “open()”, ko parasti izmanto faila piekļuvei. Mērķa lietojumprogrammas APK iejaukšanās pārbaudēs Snowblind seccomp filtrs novērš nesankcionētu sysscall un aktivizē SIGSYS signālu, norādot uz nederīgu syscall argumentu.

Lai apietu noteikšanu, Snowblind instalē SIGSYS signālu apstrādātāju. Šis apstrādātājs pārbauda un modificē pavedienu reģistrus, ļaujot ļaunprātīgai programmatūrai manipulēt ar 'open()' syscall argumentiem. Pētnieki skaidro, ka šī manipulācija novirza pretviltošanas kodu, lai skatītu nemainītu APK versiju.

Mērķtiecīgās pieejas dēļ seccomp filtrs uzliek minimālu ietekmi uz veiktspēju un darbības nospiedumu, tādēļ ir maz ticams, ka lietotāji varēs noteikt novirzes regulāras lietojumprogrammas lietošanas laikā.

Snowblind ļauj uzbrucējiem veikt dažādas kaitīgas darbības

Snowblind uzbrukumos izmantotā metode šķiet salīdzinoši nezināma, un pētnieki norāda, ka lielākā daļa lietotņu nav aprīkotas, lai aizsargātos pret to. Šāda veida uzbrukumi darbojas diskrēti, radot ievērojamu risku apdraudēt pieteikšanās akreditācijas datus. Turklāt ļaunprātīgajai programmatūrai ir iespēja atspējot svarīgus lietotņu drošības līdzekļus, piemēram, divu faktoru autentifikāciju un biometrisko verifikāciju.

Uzbrucēji var izmantot šo paņēmienu, lai piekļūtu sensitīvai informācijai ekrānā, pārvietotos ierīcēs, manipulētu ar lietojumprogrammām un apietu drošības protokolus, automatizējot darbības, kurām parasti nepieciešama lietotāja iejaukšanās. Turklāt viņi var iegūt personu identificējošu informāciju un darījumu datus.

Snowblind uzbrukuma kampaņas ietekme uz lietojumprogrammām joprojām nav skaidra. Turklāt pastāv bažas, ka citi apdraudējuma dalībnieki varētu izmantot šo metodi, lai nākotnē izvairītos no Android aizsardzības.