มัลแวร์มือถือ Snowblind
มัลแวร์ Android ตัวใหม่ที่ถูกติดตามขณะที่ Snowblind ใช้ประโยชน์จากคุณสมบัติความปลอดภัยเพื่อหลีกเลี่ยงการป้องกันการปลอมแปลงในปัจจุบันในแอพที่จัดการข้อมูลผู้ใช้ที่ละเอียดอ่อน Snowblind มีเป้าหมายที่จะบรรจุแอปพลิเคชันเป้าหมายใหม่ เพื่อไม่ให้ตรวจพบการใช้บริการการเข้าถึงในทางที่ผิด สิ่งนี้ทำให้มัลแวร์สามารถดักจับอินพุตของผู้ใช้ เช่น ข้อมูลประจำตัว หรือได้รับการควบคุมจากระยะไกลเพื่อทำกิจกรรมที่เป็นอันตราย
สิ่งที่ทำให้ Snowblind แตกต่างจากมัลแวร์ Android อื่นๆ คือการใช้ประโยชน์จาก 'seccomp' (การประมวลผลที่ปลอดภัย) ซึ่งเป็นฟีเจอร์เคอร์เนล Linux ที่ Android ใช้สำหรับตรวจสอบความสมบูรณ์ของแอปพลิเคชัน คุณลักษณะนี้มีจุดมุ่งหมายเพื่อปกป้องผู้ใช้จากการกระทำที่ไม่ปลอดภัย เช่น การบรรจุแอปพลิเคชันใหม่
การใช้ประโยชน์จากคุณลักษณะด้านความปลอดภัยเพื่อประนีประนอมอุปกรณ์
การวิเคราะห์ Snowblind เผยวิธีการใหม่ในการโจมตีแอปพลิเคชัน Android ผ่านการใช้ประโยชน์จากฟีเจอร์เคอร์เนล Linux 'seccomp' Seccomp เป็นกลไกความปลอดภัยที่จำกัดแอปพลิเคชันการโทรของระบบ (syscalls) ที่สามารถทำได้ ดังนั้นจึงช่วยลดพื้นที่การโจมตี เริ่มแรกผสานรวมโดย Google ใน Android 8 (Oreo) seccomp ถูกนำไปใช้ภายในกระบวนการ Zygote ซึ่งเป็นกระบวนการหลักสำหรับแอปพลิเคชัน Android ทั้งหมด
Snowblind กำหนดเป้าหมายแอปพลิเคชันที่จัดการข้อมูลที่ละเอียดอ่อนโดยเฉพาะโดยการฉีดไลบรารีดั้งเดิมที่โหลดก่อนกลไกป้องกันการปลอมแปลง โดยจะติดตั้งตัวกรอง seccomp เพื่อสกัดกั้น syscalls เช่น 'open()' ซึ่งมักใช้สำหรับการเข้าถึงไฟล์ ในระหว่างการตรวจสอบการปลอมแปลง APK ของแอปพลิเคชันเป้าหมาย ตัวกรอง seccomp ของ Snowblind จะป้องกันการโทร syscall ที่ไม่ได้รับอนุญาตและทริกเกอร์สัญญาณ SIGSYS ซึ่งบ่งชี้ถึงอาร์กิวเมนต์ syscall ที่ไม่ถูกต้อง
เพื่อหลีกเลี่ยงการตรวจจับ Snowblind จึงติดตั้งตัวจัดการสัญญาณสำหรับ SIGSYS ตัวจัดการนี้จะตรวจสอบและแก้ไขรีจิสเตอร์ของเธรด ทำให้มัลแวร์สามารถจัดการอาร์กิวเมนต์ของ syscall 'open()' ได้ นักวิจัยอธิบายว่าการจัดการนี้เปลี่ยนเส้นทางโค้ดป้องกันการปลอมแปลงเพื่อดู APK เวอร์ชันที่ไม่มีการเปลี่ยนแปลง
เนื่องจากแนวทางที่กำหนดเป้าหมายไว้ ตัวกรอง seccomp จึงส่งผลกระทบด้านประสิทธิภาพและปริมาณการดำเนินงานน้อยที่สุด ทำให้ผู้ใช้ไม่น่าจะตรวจพบความผิดปกติในระหว่างการใช้งานแอปพลิเคชันปกติ
Snowblind ช่วยให้ผู้โจมตีสามารถดำเนินการที่เป็นอันตรายต่างๆ ได้
วิธีการที่ใช้ในการโจมตี Snowblind ดูเหมือนจะไม่เป็นที่รู้จักมากนัก และนักวิจัยระบุว่าแอปส่วนใหญ่ไม่มีความพร้อมในการป้องกัน การโจมตีประเภทนี้ดำเนินการอย่างรอบคอบ ก่อให้เกิดความเสี่ยงอย่างมากต่อความเสียหายต่อข้อมูลรับรองการเข้าสู่ระบบ นอกจากนี้ มัลแวร์ยังมีความสามารถในการปิดใช้งานคุณลักษณะด้านความปลอดภัยที่สำคัญของแอป เช่น การตรวจสอบสิทธิ์แบบสองปัจจัย และการตรวจสอบไบโอเมตริกซ์
ผู้โจมตีสามารถใช้เทคนิคนี้ในการเข้าถึงข้อมูลที่ละเอียดอ่อนบนหน้าจอ นำทางอุปกรณ์ จัดการแอปพลิเคชัน และหลีกเลี่ยงโปรโตคอลความปลอดภัยโดยการดำเนินการอัตโนมัติที่โดยทั่วไปต้องมีการโต้ตอบจากผู้ใช้ นอกจากนี้ พวกเขาสามารถดึงข้อมูลที่สามารถระบุตัวตนส่วนบุคคลและข้อมูลการทำธุรกรรมได้
ขอบเขตผลกระทบของแคมเปญโจมตี Snowblind ต่อแอปพลิเคชันยังไม่ชัดเจน นอกจากนี้ยังมีความกังวลว่าผู้คุกคามรายอื่นอาจใช้วิธีนี้เพื่อหลบเลี่ยงการป้องกันของ Android ในอนาคต
