Snowblind Mobile Malware

Een nieuwe Android-malware die wordt gevolgd terwijl Snowblind een beveiligingsfunctie exploiteert om de huidige anti-manipulatiebeveiligingen te omzeilen in apps die gevoelige gebruikersgegevens beheren. Snowblind streeft ernaar doelapplicaties opnieuw te verpakken, zodat ze misbruik van toegankelijkheidsdiensten niet kunnen detecteren. Hierdoor kan de malware gebruikersinvoer zoals inloggegevens vastleggen of op afstand controle krijgen om kwaadaardige activiteiten uit te voeren.

Wat Snowblind onderscheidt van andere Android-malware is de exploitatie van 'seccomp' (secure computing), een Linux-kernelfunctie die door Android wordt gebruikt voor controles van de applicatie-integriteit. Deze functie is bedoeld om gebruikers te beschermen tegen onveilige acties, zoals het opnieuw verpakken van applicaties.

Beveiligingsfuncties misbruiken om apparaten te compromitteren

Analyse van Snowblind onthult zijn innovatieve methode om Android-applicaties aan te vallen door gebruik te maken van de Linux-kernelfunctie 'seccomp.' Seccomp is een beveiligingsmechanisme dat de systeemaanroepen (syscalls) beperkt die applicaties kunnen uitvoeren, waardoor hun aanvalsoppervlak wordt verkleind. Aanvankelijk geïntegreerd door Google in Android 8 (Oreo), werd seccomp geïmplementeerd binnen het Zygote-proces, het bovenliggende proces voor alle Android-applicaties.

Snowblind richt zich specifiek op applicaties die gevoelige gegevens verwerken door een native bibliotheek te injecteren die wordt geladen voorafgaand aan anti-manipulatiemechanismen. Het installeert een seccomp-filter om syscalls zoals 'open()' te onderscheppen, vaak gebruikt voor bestandstoegang. Tijdens manipulatiecontroles van de APK van de doelapplicatie voorkomt het seccomp-filter van Snowblind ongeautoriseerde syscalls en activeert het een SIGSYS-signaal, wat een ongeldig syscall-argument aangeeft.

Om detectie te omzeilen, installeert Snowblind een signaalhandler voor SIGSYS. Deze handler inspecteert en wijzigt de registers van de thread, waardoor de malware de argumenten van de 'open()' syscall kan manipuleren. Onderzoekers leggen uit dat deze manipulatie de anti-manipulatiecode omleidt om een ongewijzigde versie van de APK te bekijken.

Dankzij de doelgerichte aanpak heeft het seccomp-filter een minimale impact op de prestaties en een minimale operationele voetafdruk, waardoor het onwaarschijnlijk is dat gebruikers afwijkingen ontdekken tijdens normaal applicatiegebruik.

Sneeuwblind stelt de aanvallers in staat verschillende schadelijke acties uit te voeren

De methode die wordt gebruikt bij Snowblind-aanvallen lijkt relatief onbekend, en onderzoekers geven aan dat de meeste apps niet zijn uitgerust om zich hiertegen te verdedigen. Dit type aanval werkt discreet en vormt een aanzienlijk risico op het in gevaar brengen van inloggegevens. Bovendien heeft de malware de mogelijkheid om kritieke app-beveiligingsfuncties uit te schakelen, zoals tweefactorauthenticatie en biometrische verificatie.

Aanvallers kunnen deze techniek gebruiken om toegang te krijgen tot gevoelige informatie op het scherm, door apparaten te navigeren, applicaties te manipuleren en beveiligingsprotocollen te omzeilen door acties te automatiseren die doorgaans gebruikersinteractie vereisen. Bovendien kunnen ze persoonlijk identificeerbare informatie en transactiegegevens extraheren.

De omvang van de impact van de Snowblind-aanvalscampagne op applicaties blijft onduidelijk. Bovendien bestaat er bezorgdheid dat andere bedreigingsactoren deze methode zouden kunnen overnemen om Android-beveiligingen in de toekomst te omzeilen.