Snowblind Mobile Malware

En ny skadlig programvara för Android som spåras som Snowblind utnyttjar en säkerhetsfunktion för att kringgå nuvarande anti-manipuleringsskydd i appar som hanterar känslig användardata. Snowblind strävar efter att paketera om målapplikationer så att de inte kan upptäcka missbruk av tillgänglighetstjänster. Detta gör att skadlig programvara kan fånga användarinmatningar som referenser eller få fjärrkontroll för att utföra skadliga aktiviteter.

Det som skiljer Snowblind från annan skadlig programvara för Android är dess utnyttjande av "seccomp" (säker datoranvändning), en Linux-kärnafunktion som används av Android för kontroll av applikationsintegritet. Den här funktionen är avsedd att skydda användare mot osäkra åtgärder som applikationsompackning.

Utnyttja säkerhetsfunktioner för att äventyra enheter

Analys av Snowblind avslöjar dess innovativa metod för att attackera Android-applikationer genom att utnyttja Linux-kärnfunktionen 'seccomp'. Secomp är en säkerhetsmekanism som begränsar systemanrop (syscalls) som applikationer kan utföra, och därigenom minskar deras attackyta. Ursprungligen integrerad av Google i Android 8 (Oreo), seccomp implementerades inom Zygote-processen, moderprocessen för alla Android-applikationer.

Snowblind riktar sig specifikt mot applikationer som hanterar känslig data genom att injicera ett inbyggt bibliotek som laddas före anti-manipuleringsmekanismer. Den installerar ett seccomp-filter för att fånga upp syscalls som 'open()', som vanligtvis används för filåtkomst. Under manipuleringskontroller av målapplikationens APK, förhindrar Snowblinds seccomp-filter obehöriga syscalls och utlöser en SIGSYS-signal, vilket indikerar ett ogiltigt syscall-argument.

För att kringgå upptäckt installerar Snowblind en signalhanterare för SIGSYS. Den här hanteraren inspekterar och modifierar trådens register, vilket gör det möjligt för skadlig programvara att manipulera argumenten för "open()" syscall. Forskare förklarar att denna manipulation omdirigerar anti-manipuleringskoden för att se en oförändrad version av APK.

På grund av sitt riktade tillvägagångssätt medför seccomp-filtret minimal prestandapåverkan och operativt fotavtryck, vilket gör det osannolikt för användare att upptäcka avvikelser under regelbunden applikationsanvändning.

Snowblind tillåter angriparna att utföra olika skadliga handlingar

Metoden som används vid Snowblind-attacker verkar vara relativt okänd, och forskare indikerar att de flesta appar inte är utrustade för att försvara sig mot den. Den här typen av attacker fungerar diskret, vilket innebär en betydande risk för att äventyra inloggningsuppgifterna. Dessutom har den skadliga programvaran förmågan att inaktivera viktiga appsäkerhetsfunktioner som tvåfaktorsautentisering och biometrisk verifiering.

Angripare kan utnyttja denna teknik för att komma åt känslig information på skärmen, navigera i enheter, manipulera applikationer och kringgå säkerhetsprotokoll genom att automatisera åtgärder som vanligtvis kräver användarinteraktion. Dessutom kan de extrahera personligt identifierbar information och transaktionsdata.

Omfattningen av Snowblind-attackkampanjens inverkan på applikationer är fortfarande oklart. Dessutom finns det oro för att andra hotaktörer skulle kunna använda denna metod för att undvika Android-skydd i framtiden.