Snowblind Mobile Malware

Un nou program malware Android urmărit ca Snowblind exploatează o caracteristică de securitate pentru a ocoli protecțiile actuale anti-modificare în aplicațiile care gestionează datele sensibile ale utilizatorilor. Snowblind își propune să reambaleze aplicațiile țintă, astfel încât acestea să nu detecteze utilizarea greșită a serviciilor de accesibilitate. Acest lucru permite malware-ului să capteze intrările utilizatorilor, cum ar fi acreditările sau să obțină control de la distanță pentru a efectua activități rău intenționate.

Ceea ce îl diferențiază pe Snowblind de alte programe malware Android este exploatarea acestuia a „seccomp” (calculatură securizată), o caracteristică a nucleului Linux utilizată de Android pentru verificarea integrității aplicațiilor. Această caracteristică este menită să protejeze utilizatorii împotriva acțiunilor nesigure, cum ar fi reambalarea aplicației.

Exploatarea caracteristicilor de securitate pentru a compromite dispozitivele

Analiza Snowblind dezvăluie metoda sa inovatoare de a ataca aplicațiile Android prin exploatarea caracteristicii nucleului Linux „seccomp”. Seccomp este un mecanism de securitate care limitează apelurile de sistem (apeluri de sistem) pe care le pot efectua aplicațiile, reducând astfel suprafața lor de atac. Integrat inițial de Google în Android 8 (Oreo), seccomp a fost implementat în cadrul procesului Zygote, procesul părinte pentru toate aplicațiile Android.

Snowblind vizează în mod special aplicațiile care manipulează date sensibile prin injectarea unei biblioteci native care se încarcă înainte de mecanismele anti-modificare. Instalează un filtru seccomp pentru a intercepta apelurile de sistem precum „open()”, folosit în mod obișnuit pentru accesul la fișiere. În timpul verificărilor de manipulare a APK-ului aplicației țintă, filtrul seccomp al lui Snowblind previne apelurile neautorizate de sistem și declanșează un semnal SIGSYS, indicând un argument syscall nevalid.

Pentru a evita detectarea, Snowblind instalează un handler de semnal pentru SIGSYS. Acest handler inspectează și modifică registrele firului de execuție, permițând malware-ului să manipuleze argumentele apelului de sistem „open()”. Cercetătorii explică că această manipulare redirecționează codul anti-modificare pentru a vizualiza o versiune nemodificată a APK-ului.

Datorită abordării sale direcționate, filtrul seccomp impune un impact minim asupra performanței și amprentă operațională, ceea ce face puțin probabil ca utilizatorii să detecteze anomalii în timpul utilizării obișnuite a aplicației.

Snowblind permite atacatorilor să efectueze diverse acțiuni dăunătoare

Metoda folosită în atacurile Snowblind pare a fi relativ necunoscută, iar cercetătorii indică faptul că majoritatea aplicațiilor nu sunt echipate pentru a se apăra împotriva acesteia. Acest tip de atac operează discret, prezentând un risc semnificativ de a compromite datele de conectare. Mai mult, malware-ul are capacitatea de a dezactiva funcțiile critice de securitate ale aplicației, cum ar fi autentificarea cu doi factori și verificarea biometrică.

Atacatorii pot folosi această tehnică pentru a accesa informații sensibile de pe ecran, pentru a naviga pe dispozitive, a manipula aplicații și a ocoli protocoalele de securitate prin automatizarea acțiunilor care necesită de obicei interacțiunea utilizatorului. În plus, pot extrage informații de identificare personală și date tranzacționale.

Amploarea impactului campaniei de atac Snowblind asupra aplicațiilor rămâne neclară. În plus, există îngrijorarea că alți actori amenințări ar putea adopta această metodă pentru a sustrage protecția Android în viitor.