Złośliwe oprogramowanie mobilne Snowblind

Nowatorskie złośliwe oprogramowanie dla Androida, śledzone jako Snowblind, wykorzystuje funkcję zabezpieczeń, aby ominąć obecne zabezpieczenia przed manipulacją w aplikacjach zarządzających wrażliwymi danymi użytkownika. Celem Snowblind jest przepakowywanie aplikacji docelowych, tak aby nie mogły wykryć niewłaściwego korzystania z usług ułatwień dostępu. Umożliwia to złośliwemu oprogramowaniu przechwytywanie danych wejściowych użytkownika, takich jak dane uwierzytelniające, lub uzyskiwanie zdalnej kontroli w celu wykonywania szkodliwych działań.

Tym, co odróżnia Snowblind od innych złośliwych programów dla systemu Android, jest wykorzystanie „seccomp” (bezpieczne przetwarzanie danych), funkcji jądra systemu Linux używanej przez system Android do sprawdzania integralności aplikacji. Ta funkcja ma na celu ochronę użytkowników przed niebezpiecznymi działaniami, takimi jak przepakowywanie aplikacji.

Wykorzystywanie funkcji zabezpieczeń w celu naruszenia bezpieczeństwa urządzeń

Analiza programu Snowblind ujawnia jego innowacyjną metodę atakowania aplikacji na Androida poprzez wykorzystanie funkcji jądra Linuksa „seccomp”. Seccomp to mechanizm bezpieczeństwa, który ogranicza wywołania systemowe (wywołania systemowe), które mogą wykonywać aplikacje, zmniejszając w ten sposób powierzchnię ataku. Początkowo zintegrowany przez Google w systemie Android 8 (Oreo), seccomp został zaimplementowany w procesie Zygote, procesie nadrzędnym dla wszystkich aplikacji na Androida.

Snowblind jest specjalnie ukierunkowany na aplikacje obsługujące wrażliwe dane poprzez wstrzyknięcie natywnej biblioteki, która ładuje się przed mechanizmami zapobiegającymi manipulacji. Instaluje filtr seccomp do przechwytywania wywołań systemowych, takich jak „open()”, powszechnie używanych do uzyskiwania dostępu do plików. Podczas kontroli manipulacji w pakiecie APK aplikacji docelowej filtr seccomp programu Snowblind zapobiega nieautoryzowanym wywołaniom systemowym i wyzwala sygnał SIGSYS, wskazując nieprawidłowy argument wywołania systemowego.

Aby ominąć wykrywanie, Snowblind instaluje moduł obsługi sygnału dla SIGSYS. Ta procedura obsługi sprawdza i modyfikuje rejestry wątku, umożliwiając złośliwemu oprogramowaniu manipulowanie argumentami wywołania systemowego „open()”. Badacze wyjaśniają, że ta manipulacja przekierowuje kod zabezpieczający przed manipulacją w celu wyświetlenia niezmienionej wersji pliku APK.

Ze względu na swoje ukierunkowane podejście filtr seccomp ma minimalny wpływ na wydajność i obciążenie operacyjne, dzięki czemu użytkownicy nie wykryją nieprawidłowości podczas regularnego korzystania z aplikacji.

Ślepota śnieżna pozwala atakującym wykonywać różne szkodliwe działania

Metoda stosowana w atakach Snowblind wydaje się stosunkowo nieznana, a badacze wskazują, że większość aplikacji nie jest przygotowana do obrony przed nią. Ten rodzaj ataku przebiega dyskretnie, stwarzając znaczne ryzyko naruszenia danych logowania. Co więcej, złośliwe oprogramowanie może wyłączyć krytyczne funkcje bezpieczeństwa aplikacji, takie jak uwierzytelnianie dwuskładnikowe i weryfikacja biometryczna.

Osoby atakujące mogą wykorzystać tę technikę, aby uzyskać dostęp do poufnych informacji wyświetlanych na ekranie, nawigować po urządzeniach, manipulować aplikacjami i omijać protokoły bezpieczeństwa poprzez automatyzację działań, które zazwyczaj wymagają interakcji użytkownika. Ponadto mogą wyodrębnić dane osobowe i dane transakcyjne.

Stopień wpływu kampanii ataków Snowblind na aplikacje pozostaje niejasny. Ponadto istnieje obawa, że inne podmioty zagrażające mogą w przyszłości zastosować tę metodę w celu obejścia zabezpieczeń systemu Android.