Perisian Hasad Mudah Alih Snowblind

Perisian hasad Android baru yang dijejaki sebagai Snowblind mengeksploitasi ciri keselamatan untuk memintas perlindungan anti-gangguan semasa dalam apl yang mengurus data pengguna yang sensitif. Snowblind bertujuan untuk membungkus semula aplikasi sasaran supaya mereka tidak dapat mengesan penyalahgunaan perkhidmatan kebolehaksesan. Ini membolehkan perisian hasad menangkap input pengguna seperti bukti kelayakan atau mendapatkan kawalan jauh untuk melakukan aktiviti berniat jahat.

Apa yang membezakan Snowblind daripada perisian hasad Android yang lain ialah eksploitasi 'seccomp' (pengkomputeran selamat), ciri kernel Linux yang digunakan oleh Android untuk semakan integriti aplikasi. Ciri ini bertujuan untuk melindungi pengguna daripada tindakan tidak selamat seperti pembungkusan semula aplikasi.

Memanfaatkan Ciri Keselamatan untuk Mengkompromi Peranti

Analisis Snowblind mendedahkan kaedah inovatifnya untuk menyerang aplikasi Android melalui eksploitasi ciri kernel Linux 'seccomp.' Seccomp ialah mekanisme keselamatan yang mengehadkan panggilan sistem (syscalls) yang boleh dilakukan oleh aplikasi, dengan itu mengurangkan permukaan serangan mereka. Pada mulanya disepadukan oleh Google dalam Android 8 (Oreo), seccomp telah dilaksanakan dalam proses Zygote, proses induk untuk semua aplikasi Android.

Snowblind secara khusus menyasarkan aplikasi yang mengendalikan data sensitif dengan menyuntik perpustakaan asli yang dimuatkan sebelum mekanisme anti-gangguan. Ia memasang penapis seccomp untuk memintas syscalls seperti 'open()', yang biasa digunakan untuk akses fail. Semasa semakan gangguan APK aplikasi sasaran, penapis seccomp Snowblind menghalang syscall yang tidak dibenarkan dan mencetuskan isyarat SIGSYS, yang menunjukkan hujah syscall yang tidak sah.

Untuk memintas pengesanan, Snowblind memasang pengendali isyarat untuk SIGSYS. Pengendali ini memeriksa dan mengubah suai daftar benang, membolehkan perisian hasad memanipulasi hujah syscall 'open()'. Penyelidik menjelaskan bahawa manipulasi ini mengubah hala kod anti-gangguan untuk melihat versi APK yang tidak diubah.

Disebabkan pendekatannya yang disasarkan, penapis seccomp mengenakan kesan prestasi minimum dan jejak operasi, menjadikannya tidak mungkin bagi pengguna untuk mengesan keabnormalan semasa penggunaan aplikasi biasa.

Snowblind Membenarkan Penyerang Melakukan Pelbagai Tindakan Memudaratkan

Kaedah yang digunakan dalam serangan Snowblind nampaknya agak tidak diketahui, dan penyelidik menunjukkan bahawa kebanyakan aplikasi tidak dilengkapi untuk mempertahankannya. Serangan jenis ini beroperasi secara berhati-hati, menimbulkan risiko besar untuk menjejaskan kelayakan log masuk. Selain itu, perisian hasad mempunyai keupayaan untuk melumpuhkan ciri keselamatan aplikasi kritikal seperti pengesahan dua faktor dan pengesahan biometrik.

Penyerang boleh memanfaatkan teknik ini untuk mengakses maklumat sensitif pada skrin, menavigasi peranti, memanipulasi aplikasi dan memintas protokol keselamatan dengan mengautomasikan tindakan yang biasanya memerlukan interaksi pengguna. Selain itu, mereka boleh mengekstrak maklumat yang boleh dikenal pasti secara peribadi dan data transaksi.

Tahap kesan kempen serangan Snowblind terhadap aplikasi masih tidak jelas. Tambahan pula, terdapat kebimbangan bahawa pelaku ancaman lain boleh menggunakan kaedah ini untuk mengelakkan perlindungan Android pada masa hadapan.