Mobilna zlonamerna programska oprema Snowblind

Nova zlonamerna programska oprema za Android, ki ji sledijo kot Snowblind, izkorišča varnostno funkcijo, da zaobide trenutno zaščito pred posegi v aplikacijah, ki upravljajo občutljive uporabniške podatke. Snowblind želi prepakirati ciljne aplikacije, tako da ne morejo zaznati zlorabe storitev dostopnosti. To omogoča zlonamerni programski opremi, da zajame uporabniške vnose, kot so poverilnice, ali pridobi daljinski nadzor za izvajanje zlonamernih dejavnosti.

Kar ločuje Snowblind od druge zlonamerne programske opreme za Android, je njegovo izkoriščanje 'seccomp' (varno računalništvo), funkcije jedra Linuxa, ki jo Android uporablja za preverjanje celovitosti aplikacij. Ta funkcija je namenjena zaščiti uporabnikov pred nevarnimi dejanji, kot je ponovno pakiranje aplikacij.

Izkoriščanje varnostnih funkcij za ogrožanje naprav

Analiza Snowblinda razkriva njegovo inovativno metodo napada na aplikacije Android z izkoriščanjem funkcije jedra Linuxa 'seccomp'. Seccomp je varnostni mehanizem, ki omejuje sistemske klice (sistemske klice), ki jih lahko izvajajo aplikacije, in tako zmanjša njihovo površino napada. Seccomp, ki ga je Google prvotno integriral v Android 8 (Oreo), je bil implementiran znotraj procesa Zygote, nadrejenega procesa za vse aplikacije Android.

Snowblind posebej cilja na aplikacije, ki obravnavajo občutljive podatke, tako da vstavi izvorno knjižnico, ki se naloži pred mehanizmi proti poseganju. Namesti filter seccomp za prestrezanje sistemskih klicev, kot je 'open()', ki se običajno uporablja za dostop do datotek. Med preverjanji poseganja v APK ciljne aplikacije Snowblindov filter seccomp prepreči nepooblaščene sistemske klice in sproži signal SIGSYS, ki označuje neveljaven argument sistemskega klica.

Da bi se izognil zaznavanju, Snowblind namesti upravljalnik signalov za SIGSYS. Ta upravljalnik pregleduje in spreminja registre niti ter omogoča zlonamerni programski opremi, da manipulira z argumenti sistemskega klica 'open()'. Raziskovalci pojasnjujejo, da ta manipulacija preusmeri kodo za preprečevanje nedovoljenih posegov na ogled nespremenjene različice APK-ja.

Zaradi ciljanega pristopa ima filter seccomp minimalen vpliv na zmogljivost in delovni odtis, zaradi česar je malo verjetno, da bi uporabniki med redno uporabo aplikacije zaznali nepravilnosti.

Snowblind napadalcem omogoča izvajanje različnih škodljivih dejanj

Zdi se, da je metoda, uporabljena pri napadih Snowblind, razmeroma neznana in raziskovalci kažejo, da večina aplikacij ni opremljenih za obrambo pred njo. Ta vrsta napada deluje diskretno in predstavlja veliko tveganje za ogrožanje poverilnic za prijavo. Poleg tega lahko zlonamerna programska oprema onemogoči kritične varnostne funkcije aplikacije, kot sta dvofaktorska avtentikacija in biometrično preverjanje.

Napadalci lahko to tehniko izkoristijo za dostop do občutljivih informacij na zaslonu, krmarjenje po napravah, manipulacijo aplikacij in izogibanje varnostnim protokolom z avtomatizacijo dejanj, ki običajno zahtevajo interakcijo uporabnika. Poleg tega lahko pridobijo podatke, ki omogočajo osebno identifikacijo, in transakcijske podatke.

Obseg vpliva napada Snowblind na aplikacije ostaja nejasen. Poleg tega obstaja skrb, da bi lahko drugi akterji groženj sprejeli to metodo, da bi se v prihodnosti izognili zaščiti Androida.