Snowblind Mobil Kötü Amaçlı Yazılım

Snowblind olarak takip edilen yeni bir Android kötü amaçlı yazılımı, hassas kullanıcı verilerini yöneten uygulamalardaki mevcut kurcalamaya karşı korumaları atlamak için bir güvenlik özelliğinden yararlanıyor. Snowblind, erişilebilirlik hizmetlerinin kötüye kullanımını tespit edememeleri için hedef uygulamaları yeniden paketlemeyi amaçlamaktadır. Bu, kötü amaçlı yazılımın kimlik bilgileri gibi kullanıcı girişlerini yakalamasına veya kötü amaçlı etkinlikleri gerçekleştirmek için uzaktan kontrol elde etmesine olanak tanır.

Snowblind'i diğer Android kötü amaçlı yazılımlarından ayıran şey, Android tarafından uygulama bütünlüğü kontrolleri için kullanılan bir Linux çekirdeği özelliği olan 'seccomp'tan (güvenli bilgi işlem) yararlanmasıdır. Bu özelliğin amacı, kullanıcıları uygulamanın yeniden paketlenmesi gibi güvenli olmayan eylemlere karşı korumaktır.

Cihazların Güvenliğini Ele Geçirmek İçin Güvenlik Özelliklerinden Yararlanma

Snowblind'in analizi, Linux çekirdek özelliği 'seccomp'tan yararlanarak Android uygulamalarına saldırmaya yönelik yenilikçi yöntemini ortaya koyuyor. Seccomp, uygulamaların gerçekleştirebileceği sistem çağrılarını (sistem çağrıları) sınırlayan ve böylece saldırı yüzeyini azaltan bir güvenlik mekanizmasıdır. Başlangıçta Google tarafından Android 8'e (Oreo) entegre edilen seccomp, tüm Android uygulamalarının ana süreci olan Zygote süreci içerisinde uygulandı.

Snowblind, kurcalamayı önleme mekanizmalarından önce yüklenen yerel bir kitaplık enjekte ederek hassas verileri işleyen uygulamaları özellikle hedefler. Genellikle dosya erişimi için kullanılan 'open()' gibi sistem çağrılarını engellemek için bir seccomp filtresi yükler. Hedef uygulamanın APK'sının kurcalama kontrolleri sırasında Snowblind'in seccomp filtresi, yetkisiz sistem çağrılarını önler ve geçersiz bir sistem çağrısı bağımsız değişkenini belirten bir SIGSYS sinyalini tetikler.

Algılamayı atlatmak için Snowblind, SIGSYS için bir sinyal işleyici yükler. Bu işleyici, iş parçacığının kayıtlarını inceler ve değiştirerek, kötü amaçlı yazılımın 'open()' sistem çağrısının argümanlarını değiştirmesine olanak tanır. Araştırmacılar, bu manipülasyonun, kurcalama önleme kodunu APK'nın değiştirilmemiş bir sürümünü görüntülemek üzere yeniden yönlendirdiğini açıklıyor.

Hedefli yaklaşımı nedeniyle seccomp filtresi minimum performans etkisi ve operasyonel ayak izi uygulayarak kullanıcıların düzenli uygulama kullanımı sırasında anormallikleri tespit etme olasılığını ortadan kaldırır.

Snowblind, Saldırganların Çeşitli Zararlı Eylemler Gerçekleştirmesine Olanak Sağlıyor

Snowblind saldırılarında kullanılan yöntem nispeten bilinmiyor gibi görünüyor ve araştırmacılar çoğu uygulamanın buna karşı savunma yapacak donanıma sahip olmadığını belirtiyor. Bu tür saldırılar gizlice gerçekleştirilir ve oturum açma kimlik bilgilerinin tehlikeye atılması konusunda önemli bir risk oluşturur. Üstelik kötü amaçlı yazılım, iki faktörlü kimlik doğrulama ve biyometrik doğrulama gibi kritik uygulama güvenliği özelliklerini devre dışı bırakma yeteneğine de sahip.

Saldırganlar, ekrandaki hassas bilgilere erişmek, cihazlarda gezinmek, uygulamaları değiştirmek ve genellikle kullanıcı etkileşimi gerektiren eylemleri otomatikleştirerek güvenlik protokollerini atlatmak için bu teknikten yararlanabilir. Ek olarak, kişisel olarak tanımlanabilir bilgileri ve işlem verilerini de çıkarabilirler.

Snowblind saldırı kampanyasının uygulamalar üzerindeki etkisinin boyutu belirsizliğini koruyor. Ayrıca diğer tehdit aktörlerinin gelecekte Android korumalarından kaçmak için bu yöntemi benimseyebileceğine dair endişeler var.