Сновблинд Мобиле Малваре

Нови злонамерни софтвер за Андроид праћен као Сновблинд користи безбедносну функцију да заобиђе тренутну заштиту против неовлашћеног приступа у апликацијама које управљају осетљивим корисничким подацима. Сновблинд има за циљ да препакује циљне апликације тако да не могу да открију злоупотребу услуга приступачности. Ово омогућава злонамерном софтверу да ухвати корисничке уносе као што су акредитиви или добије даљинску контролу за обављање злонамерних активности.

Оно по чему се Сновблинд разликује од осталих Андроид малвера је његова експлоатација „сеццомп“ (безбедно рачунарство), функције језгра Линука коју користи Андроид за проверу интегритета апликација. Ова функција има за циљ да заштити кориснике од небезбедних радњи као што је препакивање апликација.

Искоришћавање безбедносних функција за компромитовање уређаја

Анализа Сновблинд-а открива његову иновативну методу напада на Андроид апликације кроз искоришћавање функције језгра Линука 'сеццомп'. Сеццомп је сигурносни механизам који ограничава системске позиве (системске позиве) које апликације могу да обаве, чиме се смањује њихова површина напада. Првобитно интегрисан од стране Гоогле-а у Андроид 8 (Орео), сеццомп је имплементиран у оквиру Зиготе процеса, родитељског процеса за све Андроид апликације.

Сновблинд посебно циља на апликације које рукују осетљивим подацима убацивањем матичне библиотеке која се учитава пре механизама против неовлашћеног приступа. Инсталира сеццомп филтер за пресретање системских позива попут 'опен()', који се обично користи за приступ датотеци. Током провера неовлашћеног приступа АПК-у циљне апликације, Сновблиндов сеццомп филтер спречава неовлашћене системске позиве и покреће СИГСИС сигнал, што указује на неважећи аргумент системског позива.

Да би заобишао детекцију, Сновблинд инсталира обрађивач сигнала за СИГСИС. Овај руковалац проверава и мења регистре нити, омогућавајући малверу да манипулише аргументима системског позива „опен()“. Истраживачи објашњавају да ова манипулација преусмерава код против неовлашћеног приступа да види непромењену верзију АПК-а.

Због свог циљаног приступа, сеццомп филтер намеће минималан утицај на перформансе и оперативни отисак, због чега је мало вероватно да ће корисници открити абнормалности током редовног коришћења апликације.

Сновблинд омогућава нападачима да изводе различите штетне радње

Метода која се користи у Сновблинд нападима изгледа да је релативно непозната, а истраживачи указују да већина апликација није опремљена за одбрану од тога. Ова врста напада делује дискретно, представљајући значајан ризик од компромитовања акредитива за пријаву. Штавише, злонамерни софтвер има могућност да онемогући критичне безбедносне функције апликације као што су двофакторска аутентификација и биометријска верификација.

Нападачи могу да искористе ову технику за приступ осетљивим информацијама на екрану, навигацију уређајима, манипулисање апликацијама и заобилажење безбедносних протокола аутоматизацијом радњи које обично захтевају интеракцију корисника. Поред тога, они могу извући личне информације и податке о трансакцијама.

Степен утицаја кампање Сновблинд напада на апликације остаје нејасан. Штавише, постоји забринутост да би други актери претњи могли да усвоје овај метод како би избегли заштиту Андроид-а у будућности.