Snowblind Mobile Malware

Nový malvér pre Android sledovaný ako Snowblind využíva bezpečnostnú funkciu na obídenie súčasnej ochrany proti neoprávnenej manipulácii v aplikáciách, ktoré spravujú citlivé údaje používateľa. Snowblind má za cieľ prebaliť cieľové aplikácie tak, aby nedokázali odhaliť zneužitie služieb dostupnosti. To umožňuje malvéru zachytiť vstupy používateľov, ako sú poverenia, alebo získať vzdialené ovládanie na vykonávanie škodlivých činností.

To, čo odlišuje Snowblind od iného škodlivého softvéru pre Android, je jeho využívanie „seccomp“ (zabezpečený výpočtový systém), čo je funkcia linuxového jadra, ktorú Android používa na kontrolu integrity aplikácií. Táto funkcia je určená na ochranu používateľov pred nebezpečnými akciami, ako je prebaľovanie aplikácií.

Využitie bezpečnostných funkcií na kompromitáciu zariadení

Analýza Snowblind odhaľuje jeho inovatívny spôsob útočenia na aplikácie pre Android prostredníctvom využitia funkcie linuxového jadra „seccomp“. Seccomp je bezpečnostný mechanizmus, ktorý obmedzuje systémové volania (syscalls), ktoré môžu aplikácie vykonávať, čím sa znižuje ich plocha útoku. Seccomp, ktorý spoločnosť Google pôvodne integroval do systému Android 8 (Oreo), bol implementovaný v rámci procesu Zygote, rodičovského procesu pre všetky aplikácie pre Android.

Snowblind sa špecificky zameriava na aplikácie, ktoré spracúvajú citlivé údaje, vložením natívnej knižnice, ktorá sa načíta pred mechanizmami proti neoprávnenej manipulácii. Nainštaluje filter seccomp na zachytenie systémových volaní ako 'open()', ktoré sa bežne používajú na prístup k súborom. Počas kontrol falšovania APK cieľovej aplikácie filter Seccomp Snowblind zabraňuje neoprávneným systémovým volaniam a spúšťa signál SIGSYS, čo naznačuje neplatný argument systémového volania.

Na obídenie detekcie Snowblind inštaluje obsluhu signálu pre SIGSYS. Tento obslužný program kontroluje a upravuje registre vlákna, čím umožňuje malvéru manipulovať s argumentmi systémového volania „open()“. Výskumníci vysvetľujú, že táto manipulácia presmeruje kód proti falšovaniu na zobrazenie nezmenenej verzie súboru APK.

Vďaka svojmu cielenému prístupu má filter seccomp minimálny vplyv na výkon a prevádzkovú stopu, takže je nepravdepodobné, že by používatelia zistili abnormality počas bežného používania aplikácie.

Snowblind umožňuje útočníkom vykonávať rôzne škodlivé akcie

Zdá sa, že metóda použitá pri útokoch Snowblind je relatívne neznáma a výskumníci naznačujú, že väčšina aplikácií nie je vybavená na obranu proti nej. Tento typ útoku funguje diskrétne a predstavuje značné riziko ohrozenia prihlasovacích údajov. Malvér má navyše schopnosť deaktivovať kritické funkcie zabezpečenia aplikácií, ako je dvojfaktorové overenie a biometrické overenie.

Útočníci môžu využiť túto techniku na prístup k citlivým informáciám na obrazovke, navigáciu v zariadeniach, manipuláciu s aplikáciami a obchádzanie bezpečnostných protokolov automatizáciou akcií, ktoré si zvyčajne vyžadujú interakciu používateľa. Okrem toho môžu extrahovať osobne identifikovateľné informácie a transakčné údaje.

Rozsah vplyvu kampane útoku Snowblind na aplikácie zostáva nejasný. Okrem toho existuje obava, že iní aktéri hrozieb by mohli prijať túto metódu, aby sa v budúcnosti vyhli ochrane systému Android.