Snowblind Mobile Malware

Ang isang bagong Android malware na sinusubaybayan bilang Snowblind ay nagsasamantala sa isang tampok na panseguridad upang i-bypass ang kasalukuyang mga proteksyon laban sa pakikialam sa mga app na namamahala ng sensitibong data ng user. Nilalayon ng Snowblind na i-repackage ang mga target na application upang hindi nila matukoy ang maling paggamit ng mga serbisyo sa pagiging naa-access. Nagbibigay-daan ito sa malware na makuha ang mga input ng user tulad ng mga kredensyal o makakuha ng remote control para magsagawa ng mga nakakahamak na aktibidad.

Ang pinagkaiba ng Snowblind sa ibang Android malware ay ang pagsasamantala nito sa 'seccomp' (secure computing), isang Linux kernel feature na ginagamit ng Android para sa mga pagsusuri sa integridad ng application. Nilalayon ng feature na ito na pangalagaan ang mga user laban sa mga hindi ligtas na pagkilos tulad ng repackaging ng application.

Pagsasamantala sa Mga Feature ng Seguridad upang Ikompromiso ang Mga Device

Ang Pagsusuri sa Snowblind ay nagpapakita ng makabagong paraan ng pag-atake sa mga application ng Android sa pamamagitan ng pagsasamantala sa tampok na Linux kernel na 'seccomp.' Ang Seccomp ay isang mekanismo ng seguridad na naglilimita sa mga system call (syscall) na maaaring gumanap ng mga application, at sa gayon ay binabawasan ang kanilang pag-atake. Sa una ay isinama ng Google sa Android 8 (Oreo), ipinatupad ang seccomp sa loob ng proseso ng Zygote, ang pangunahing proseso para sa lahat ng Android application.

Partikular na tina-target ng Snowblind ang mga application na humahawak ng sensitibong data sa pamamagitan ng pag-inject ng native na library na naglo-load bago ang mga mekanismong anti-tampering. Nag-i-install ito ng seccomp filter upang ma-intercept ang mga syscall tulad ng 'open()', na karaniwang ginagamit para sa pag-access ng file. Sa panahon ng pakikialam na mga pagsusuri sa APK ng target na application, pinipigilan ng seccomp filter ng Snowblind ang mga hindi awtorisadong syscall at nagti-trigger ng signal ng SIGSYS, na nagsasaad ng di-wastong argumento ng syscall.

Upang iwasan ang pagtuklas, nag-i-install ang Snowblind ng signal handler para sa SIGSYS. Sinusuri at binabago ng handler na ito ang mga rehistro ng thread, na nagbibigay-daan sa malware na manipulahin ang mga argumento ng 'open()' syscall. Ipinaliwanag ng mga mananaliksik na nire-redirect ng pagmamanipulang ito ang anti-tampering code upang tingnan ang isang hindi nabagong bersyon ng APK.

Dahil sa naka-target na diskarte nito, ang seccomp filter ay nagpapataw ng kaunting epekto sa performance at operational footprint, na ginagawang malabong maka-detect ang mga user ng mga abnormalidad sa panahon ng regular na paggamit ng application.

Binibigyang-daan ng Snowblind ang mga Attacker na Magsagawa ng Iba't ibang Mapanganib na Aksyon

Ang paraan na ginagamit sa mga pag-atake ng Snowblind ay mukhang medyo hindi kilala, at ipinapahiwatig ng mga mananaliksik na ang karamihan sa mga app ay walang kagamitan upang ipagtanggol laban dito. Ang ganitong uri ng pag-atake ay gumagana nang maingat, na nagdudulot ng malaking panganib na makompromiso ang mga kredensyal sa pag-log in. Bukod dito, may kakayahan ang malware na i-disable ang mga kritikal na feature ng seguridad ng app gaya ng two-factor authentication at biometric verification.

Maaaring gamitin ng mga attacker ang diskarteng ito upang ma-access ang sensitibong impormasyon sa screen, mag-navigate sa mga device, manipulahin ang mga application, at iwasan ang mga protocol ng seguridad sa pamamagitan ng pag-automate ng mga aksyon na karaniwang nangangailangan ng pakikipag-ugnayan ng user. Bukod pa rito, maaari nilang kunin ang personal na nakakapagpakilalang impormasyon at data ng transaksyon.

Ang lawak ng epekto ng Snowblind attack campaign sa mga application ay nananatiling hindi malinaw. Higit pa rito, may pag-aalala na maaaring gamitin ng iba pang mga banta ng aktor ang pamamaraang ito upang maiwasan ang mga proteksyon ng Android sa hinaharap.