Snowblind Mobile Malware

En ny Android-skadevare sporet som Snowblind utnytter en sikkerhetsfunksjon for å omgå gjeldende antitukling-beskyttelse i apper som administrerer sensitive brukerdata. Snowblind har som mål å ompakke målapplikasjoner slik at de ikke kan oppdage misbruk av tilgjengelighetstjenester. Dette gjør at skadelig programvare kan fange opp brukerinndata som legitimasjon eller få fjernkontroll for å utføre ondsinnede aktiviteter.

Det som skiller Snowblind fra annen Android-skadevare er dens utnyttelse av "seccomp" (sikker databehandling), en Linux-kjernefunksjon som brukes av Android for applikasjonsintegritetskontroller. Denne funksjonen er ment å beskytte brukere mot utrygge handlinger som ompakking av applikasjoner.

Utnyttelse av sikkerhetsfunksjoner for å kompromittere enheter

Analyse av Snowblind avslører dens innovative metode for å angripe Android-applikasjoner gjennom utnyttelse av Linux-kjernefunksjonen 'seccomp'. Secomp er en sikkerhetsmekanisme som begrenser systemanrop (syscalls) applikasjoner kan utføre, og dermed redusere angrepsoverflaten. Opprinnelig integrert av Google i Android 8 (Oreo), ble seccomp implementert i Zygote-prosessen, hovedprosessen for alle Android-applikasjoner.

Snowblind retter seg spesifikt mot applikasjoner som håndterer sensitive data ved å injisere et innebygd bibliotek som lastes inn før antituklingsmekanismer. Den installerer et seccomp-filter for å avskjære syscalls som 'open()', vanligvis brukt for filtilgang. Under manipulasjonssjekker av målapplikasjonens APK, forhindrer Snowblinds seccomp-filter uautoriserte syscalls og utløser et SIGSYS-signal, som indikerer et ugyldig syscall-argument.

For å omgå deteksjon, installerer Snowblind en signalbehandler for SIGSYS. Denne behandleren inspiserer og modifiserer trådens registre, noe som gjør det mulig for skadelig programvare å manipulere argumentene til 'open()'-syscall. Forskere forklarer at denne manipulasjonen omdirigerer anti-tukling-koden for å se en uendret versjon av APK.

På grunn av den målrettede tilnærmingen påfører seccomp-filteret minimal ytelsespåvirkning og operativt fotavtrykk, noe som gjør det usannsynlig for brukere å oppdage unormalt under vanlig applikasjonsbruk.

Snowblind lar angriperne utføre ulike skadelige handlinger

Metoden som brukes i Snowblind-angrep ser ut til å være relativt ukjent, og forskere indikerer at de fleste apper ikke er utstyrt for å forsvare seg mot den. Denne typen angrep fungerer diskret, og utgjør en betydelig risiko for å kompromittere påloggingsinformasjonen. Dessuten har skadelig programvare muligheten til å deaktivere kritiske appsikkerhetsfunksjoner som tofaktorautentisering og biometrisk verifisering.

Angripere kan utnytte denne teknikken for å få tilgang til sensitiv informasjon på skjermen, navigere på enheter, manipulere applikasjoner og omgå sikkerhetsprotokoller ved å automatisere handlinger som vanligvis krever brukerinteraksjon. I tillegg kan de trekke ut personlig identifiserbar informasjon og transaksjonsdata.

Omfanget av Snowblind-angrepskampanjens innvirkning på applikasjoner er fortsatt uklart. Videre er det bekymring for at andre trusselaktører kan ta i bruk denne metoden for å unngå Android-beskyttelse i fremtiden.