Мобильное вредоносное ПО Snowblind

Новое вредоносное ПО для Android, отслеживаемое как Snowblind, использует функцию безопасности для обхода текущих средств защиты от несанкционированного доступа в приложениях, которые управляют конфиденциальными пользовательскими данными. Snowblind стремится переупаковать целевые приложения, чтобы они не могли обнаружить злоупотребление службами специальных возможностей. Это позволяет вредоносному ПО перехватывать вводимые пользователем данные, например учетные данные, или получать удаленное управление для выполнения вредоносных действий.

Что отличает Snowblind от других вредоносных программ для Android, так это использование «seccomp» (безопасных вычислений), функции ядра Linux, используемой Android для проверки целостности приложений. Эта функция предназначена для защиты пользователей от небезопасных действий, таких как переупаковка приложения.

Использование функций безопасности для компрометации устройств

Анализ Snowblind выявил инновационный метод атаки на приложения Android посредством использования функции ядра Linux seccomp. Seccomp — это механизм безопасности, который ограничивает количество системных вызовов (системных вызовов), которые могут выполнять приложения, тем самым уменьшая их поверхность атаки. Первоначально интегрированный Google в Android 8 (Oreo), seccomp был реализован в процессе Zygote, родительском процессе для всех приложений Android.

Snowblind специально нацелен на приложения, обрабатывающие конфиденциальные данные, путем внедрения собственной библиотеки, которая загружается до срабатывания механизмов защиты от несанкционированного доступа. Он устанавливает фильтр seccomp для перехвата системных вызовов типа open(), обычно используемых для доступа к файлам. Во время проверки на взлом APK целевого приложения фильтр seccomp Snowblind предотвращает несанкционированные системные вызовы и запускает сигнал SIGSYS, указывающий на недопустимый аргумент системного вызова.

Чтобы обойти обнаружение, Snowblind устанавливает обработчик сигналов для SIGSYS. Этот обработчик проверяет и изменяет регистры потока, позволяя вредоносному ПО манипулировать аргументами системного вызова open(). Исследователи объясняют, что эта манипуляция перенаправляет код защиты от несанкционированного доступа для просмотра неизмененной версии APK.

Благодаря целенаправленному подходу фильтр seccomp оказывает минимальное влияние на производительность и эксплуатационные расходы, что делает маловероятным обнаружение пользователями аномалий при регулярном использовании приложений.

Snowblind позволяет злоумышленникам совершать различные вредоносные действия

Метод, используемый при атаках Snowblind, по-видимому, относительно неизвестен, и исследователи указывают, что большинство приложений не оснащены средствами защиты от него. Этот тип атаки действует незаметно, создавая значительный риск компрометации учетных данных для входа. Более того, вредоносное ПО имеет возможность отключать важные функции безопасности приложений, такие как двухфакторная аутентификация и биометрическая проверка.

Злоумышленники могут использовать эту технику для доступа к конфиденциальной информации на экране, навигации по устройствам, манипулирования приложениями и обхода протоколов безопасности путем автоматизации действий, которые обычно требуют взаимодействия с пользователем. Кроме того, они могут извлекать личную информацию и данные транзакций.

Степень влияния атаки Snowblind на приложения остается неясной. Кроме того, есть опасения, что другие злоумышленники могут использовать этот метод для обхода защиты Android в будущем.