స్నోబ్లైండ్ మొబైల్ మాల్వేర్
స్నోబ్లైండ్గా ట్రాక్ చేయబడిన నవల Android మాల్వేర్ సున్నితమైన వినియోగదారు డేటాను నిర్వహించే యాప్లలో ప్రస్తుత యాంటీ-టాంపరింగ్ రక్షణలను దాటవేయడానికి భద్రతా లక్షణాన్ని ఉపయోగించుకుంటుంది. స్నోబ్లైండ్ టార్గెట్ అప్లికేషన్లను తిరిగి ప్యాకేజ్ చేయడం లక్ష్యంగా పెట్టుకుంది, అందుచే వారు యాక్సెసిబిలిటీ సేవల దుర్వినియోగాన్ని గుర్తించలేరు. ఇది మాల్వేర్ క్రెడెన్షియల్స్ వంటి వినియోగదారు ఇన్పుట్లను క్యాప్చర్ చేయడానికి లేదా హానికరమైన కార్యకలాపాలను నిర్వహించడానికి రిమోట్ కంట్రోల్ని పొందడానికి అనుమతిస్తుంది.
స్నోబ్లైండ్ని ఇతర ఆండ్రాయిడ్ మాల్వేర్ నుండి వేరుగా ఉంచేది ఏమిటంటే, అప్లికేషన్ సమగ్రత తనిఖీల కోసం ఆండ్రాయిడ్ ఉపయోగించే లైనక్స్ కెర్నల్ ఫీచర్ అయిన 'సెకాంప్' (సెక్యూర్ కంప్యూటింగ్) యొక్క దోపిడీ. అప్లికేషన్ రీప్యాకేజింగ్ వంటి అసురక్షిత చర్యల నుండి వినియోగదారులను రక్షించడానికి ఈ ఫీచర్ ఉద్దేశించబడింది.
పరికరాలను రాజీ చేయడానికి భద్రతా లక్షణాలను ఉపయోగించుకోవడం
Snowblind యొక్క విశ్లేషణ Linux కెర్నల్ ఫీచర్ 'seccomp' యొక్క దోపిడీ ద్వారా Android అప్లికేషన్లపై దాడి చేసే వినూత్న పద్ధతిని వెల్లడిస్తుంది. Seccomp అనేది సిస్టమ్ కాల్స్ (syscalls) అప్లికేషన్లు చేయగల భద్రతా విధానం, తద్వారా వాటి దాడి ఉపరితలాన్ని తగ్గిస్తుంది. ప్రారంభంలో ఆండ్రాయిడ్ 8 (ఓరియో)లో గూగుల్ చేత ఏకీకృతం చేయబడింది, అన్ని ఆండ్రాయిడ్ అప్లికేషన్లకు మాతృ ప్రక్రియ అయిన జైగోట్ ప్రాసెస్లో సెకాంప్ అమలు చేయబడింది.
యాంటీ-టాంపరింగ్ మెకానిజమ్లకు ముందు లోడ్ అయ్యే స్థానిక లైబ్రరీని ఇంజెక్ట్ చేయడం ద్వారా సున్నితమైన డేటాను హ్యాండిల్ చేసే అప్లికేషన్లను స్నోబ్లైండ్ ప్రత్యేకంగా లక్ష్యంగా చేసుకుంటుంది. ఫైల్ యాక్సెస్ కోసం సాధారణంగా ఉపయోగించే 'ఓపెన్()' వంటి సిస్కాల్లను అడ్డగించడానికి ఇది సెకాంప్ ఫిల్టర్ను ఇన్స్టాల్ చేస్తుంది. లక్ష్య అప్లికేషన్ యొక్క APK యొక్క ట్యాంపరింగ్ తనిఖీల సమయంలో, Snowblind యొక్క seccomp ఫిల్టర్ అనధికారిక సిస్కాల్లను నిరోధిస్తుంది మరియు SIGSYS సిగ్నల్ను ట్రిగ్గర్ చేస్తుంది, ఇది చెల్లని సిస్కాల్ ఆర్గ్యుమెంట్ను సూచిస్తుంది.
గుర్తింపును తప్పించుకోవడానికి, Snowblind SIGSYS కోసం సిగ్నల్ హ్యాండ్లర్ను ఇన్స్టాల్ చేస్తుంది. ఈ హ్యాండ్లర్ థ్రెడ్ యొక్క రిజిస్టర్లను తనిఖీ చేస్తుంది మరియు సవరిస్తుంది, మాల్వేర్ 'ఓపెన్()' సిస్కాల్ యొక్క ఆర్గ్యుమెంట్లను మార్చడానికి వీలు కల్పిస్తుంది. ఈ మానిప్యులేషన్ APK యొక్క మార్పులేని సంస్కరణను వీక్షించడానికి యాంటీ-టాంపరింగ్ కోడ్ను దారి మళ్లిస్తుందని పరిశోధకులు వివరించారు.
దాని లక్ష్య విధానం కారణంగా, seccomp ఫిల్టర్ కనీస పనితీరు ప్రభావం మరియు కార్యాచరణ పాదముద్రను విధిస్తుంది, దీని వలన వినియోగదారులు సాధారణ అప్లికేషన్ వినియోగంలో అసాధారణతలను గుర్తించడం సాధ్యం కాదు.
స్నోబ్లైండ్ దాడి చేసేవారిని వివిధ హానికరమైన చర్యలను చేయడానికి అనుమతిస్తుంది
స్నోబ్లైండ్ దాడులలో ఉపయోగించే పద్ధతి సాపేక్షంగా తెలియనట్లు కనిపిస్తోంది మరియు చాలా యాప్లు దాని నుండి రక్షించడానికి సన్నద్ధం కాలేదని పరిశోధకులు సూచిస్తున్నారు. ఈ రకమైన దాడి విచక్షణతో పనిచేస్తుంది, లాగిన్ ఆధారాలతో రాజీపడే ప్రమాదం ఉంది. అంతేకాకుండా, మాల్వేర్ రెండు-కారకాల ప్రమాణీకరణ మరియు బయోమెట్రిక్ ధృవీకరణ వంటి క్లిష్టమైన యాప్ భద్రతా లక్షణాలను నిలిపివేయగల సామర్థ్యాన్ని కలిగి ఉంది.
సాధారణంగా వినియోగదారు పరస్పర చర్య అవసరమయ్యే చర్యలను ఆటోమేట్ చేయడం ద్వారా స్క్రీన్పై సున్నితమైన సమాచారాన్ని యాక్సెస్ చేయడానికి, పరికరాలను నావిగేట్ చేయడానికి, అప్లికేషన్లను మానిప్యులేట్ చేయడానికి మరియు భద్రతా ప్రోటోకాల్లను తప్పించుకోవడానికి దాడి చేసేవారు ఈ టెక్నిక్ని ఉపయోగించుకోవచ్చు. అదనంగా, వారు వ్యక్తిగతంగా గుర్తించదగిన సమాచారం మరియు లావాదేవీల డేటాను సంగ్రహించగలరు.
అప్లికేషన్లపై స్నోబ్లైండ్ అటాక్ క్యాంపెయిన్ ప్రభావం ఎంతవరకు ఉందో అస్పష్టంగానే ఉంది. అంతేకాకుండా, భవిష్యత్తులో ఆండ్రాయిడ్ రక్షణలను తప్పించుకోవడానికి ఇతర ముప్పు నటులు ఈ పద్ధతిని అవలంబించవచ్చనే ఆందోళన ఉంది.
