Зловмисне програмне забезпечення для мобільних пристроїв Snowblind

Нове зловмисне програмне забезпечення для Android, яке відстежується як Snowblind, використовує функцію безпеки, щоб обійти поточний захист від несанкціонованого доступу в програмах, які керують конфіденційними даними користувачів. Snowblind має на меті перепакувати цільові програми, щоб вони не могли виявити зловживання службами доступності. Це дозволяє зловмисному програмному забезпеченню перехоплювати введені користувачем дані, як-от облікові дані, або отримувати дистанційне керування для виконання зловмисних дій.

Що відрізняє Snowblind від інших зловмисних програм для Android, так це використання «seccomp» (захищених обчислень), функції ядра Linux, яка використовується Android для перевірки цілісності програм. Ця функція призначена для захисту користувачів від небезпечних дій, як-от перепакування програми.

Використання функцій безпеки для компрометації пристроїв

Аналіз Snowblind показує його інноваційний метод атаки на програми Android за допомогою функції ядра Linux «seccomp». Seccomp — це механізм безпеки, який обмежує системні виклики (системні виклики), які можуть виконувати програми, таким чином зменшуючи поверхню їх атаки. Спочатку інтегрований Google в Android 8 (Oreo), seccomp був реалізований у процесі Zygote, батьківському процесі для всіх програм Android.

Snowblind спеціально націлений на програми, що обробляють конфіденційні дані, впроваджуючи рідну бібліотеку, яка завантажується перед механізмами захисту від несанкціонованого доступу. Він встановлює фільтр seccomp для перехоплення системних викликів, таких як 'open()', які зазвичай використовуються для доступу до файлів. Під час перевірок на втручання APK цільової програми фільтр Snowblind seccomp запобігає неавторизованим системним викликам і запускає сигнал SIGSYS, що вказує на недійсний аргумент системного виклику.

Щоб обійти виявлення, Snowblind встановлює обробник сигналів для SIGSYS. Цей обробник перевіряє та змінює регістри потоку, дозволяючи зловмисному програмному забезпеченню маніпулювати аргументами системного виклику open(). Дослідники пояснюють, що ця маніпуляція перенаправляє код захисту від втручання для перегляду незмінної версії APK.

Завдяки цілеспрямованому підходу фільтр seccomp мінімально впливає на продуктивність і робочий слід, що робить малоймовірним для користувачів виявлення відхилень під час регулярного використання програми.

Snowblind дозволяє зловмисникам виконувати різні шкідливі дії

Метод, який використовується для атак Snowblind, здається, відносно невідомий, і дослідники вказують, що більшість програм не обладнані для захисту від нього. Цей тип атаки діє непомітно, створюючи значний ризик компрометації облікових даних для входу. Крім того, зловмисне програмне забезпечення має здатність відключати важливі функції безпеки програми, такі як двофакторна автентифікація та біометрична перевірка.

Зловмисники можуть використовувати цю техніку для доступу до конфіденційної інформації на екрані, навігації по пристроях, маніпулювання програмами та обходу протоколів безпеки шляхом автоматизації дій, які зазвичай вимагають взаємодії з користувачем. Крім того, вони можуть отримувати особисту інформацію та дані транзакцій.

Ступінь впливу атаки Snowblind на додатки залишається незрозумілою. Крім того, існує занепокоєння, що інші суб’єкти загрози можуть застосувати цей метод, щоб уникнути захисту Android у майбутньому.