Snowblind Mobile Malware

Um novo malware Android rastreado como Snowblind explora um recurso de segurança para contornar as atuais proteções anti-adulteração em aplicativos que gerenciam dados confidenciais do usuário. O Snowblind visa reempacotar aplicativos de destino para que não possam detectar o uso indevido de serviços de acessibilidade. Isso permite que o malware capture entradas do usuário, como credenciais, ou obtenha controle remoto para realizar atividades maliciosas.

O que diferencia o Snowblind de outros malwares Android é a exploração do 'seccomp' (computação segura), um recurso do kernel Linux usado pelo Android para verificações de integridade de aplicativos. Este recurso tem como objetivo proteger os usuários contra ações inseguras, como reempacotamento de aplicativos.

Explorando Recursos de Segurança para Comprometer Dispositivos

A análise do Snowblind revela seu método inovador de atacar aplicativos Android por meio da exploração do recurso 'seccomp' do kernel Linux. Seccomp é um mecanismo de segurança que limita as chamadas de sistema (syscalls) que os aplicativos podem realizar, reduzindo assim sua superfície de ataque. Inicialmente integrado pelo Google no Android 8 (Oreo), o seccomp foi implementado no processo Zygote, o processo pai de todos os aplicativos Android.

O Snowblind visa especificamente aplicativos que lidam com dados confidenciais, injetando uma biblioteca nativa que é carregada antes dos mecanismos anti-adulteração. Ele instala um filtro seccomp para interceptar syscalls como 'open()', comumente usado para acesso a arquivos. Durante as verificações de violação do APK do aplicativo de destino, o filtro seccomp do Snowblind evita syscalls não autorizados e aciona um sinal SIGSYS, indicando um argumento de syscall inválido.

Para contornar a detecção, o Snowblind instala um manipulador de sinal para SIGSYS. Este manipulador inspeciona e modifica os registros do thread, permitindo que o malware manipule os argumentos do syscall 'open()'. Os pesquisadores explicam que essa manipulação redireciona o código anti-adulteração para visualizar uma versão inalterada do APK.

Devido à sua abordagem direcionada, o filtro seccomp impõe um impacto mínimo no desempenho e na pegada operacional, tornando improvável que os usuários detectem anormalidades durante o uso regular do aplicativo.

O Snowblind Permite que os Invasores Realizem Várias Ações Prejudiciais

O método empregado nos ataques Snowblind parece ser relativamente desconhecido, e os pesquisadores indicam que a maioria dos aplicativos não está equipada para se defender contra ele. Esse tipo de ataque opera de forma discreta, apresentando um risco significativo de comprometer as credenciais de login. Além disso, o malware tem a capacidade de desativar recursos críticos de segurança do aplicativo, como autenticação de dois fatores e verificação biométrica.

Os invasores podem aproveitar essa técnica para acessar informações confidenciais na tela, navegar em dispositivos, manipular aplicativos e contornar protocolos de segurança, automatizando ações que normalmente exigem interação do usuário. Além disso, eles podem extrair informações de identificação pessoal e dados transacionais.

A extensão do impacto da campanha de ataque Snowblind nas aplicações permanece incerta. Além disso, existe a preocupação de que outros agentes de ameaças possam adotar este método para escapar das proteções do Android no futuro.