Phần mềm độc hại di động Snowblind

Một phần mềm độc hại Android mới được theo dõi khi Snowblind khai thác tính năng bảo mật để vượt qua các biện pháp bảo vệ chống giả mạo hiện tại trong các ứng dụng quản lý dữ liệu nhạy cảm của người dùng. Snowblind nhằm mục đích đóng gói lại các ứng dụng mục tiêu để chúng không thể phát hiện việc lạm dụng các dịch vụ trợ năng. Điều này cho phép phần mềm độc hại nắm bắt thông tin đầu vào của người dùng như thông tin xác thực hoặc giành quyền điều khiển từ xa để thực hiện các hoạt động độc hại.

Điều khiến Snowblind khác biệt so với các phần mềm độc hại Android khác là việc nó khai thác 'seccomp' (điện toán an toàn), một tính năng nhân Linux được Android sử dụng để kiểm tra tính toàn vẹn của ứng dụng. Tính năng này nhằm bảo vệ người dùng khỏi các hành động không an toàn như đóng gói lại ứng dụng.

Khai thác các tính năng bảo mật để xâm phạm thiết bị

Phân tích của Snowblind tiết lộ phương pháp tấn công ứng dụng Android sáng tạo của nó thông qua việc khai thác tính năng 'seccomp.' của nhân Linux. Seccomp là một cơ chế bảo mật giới hạn các cuộc gọi hệ thống (cuộc gọi hệ thống) mà các ứng dụng có thể thực hiện, do đó làm giảm bề mặt tấn công của chúng. Ban đầu được Google tích hợp trong Android 8 (Oreo), seccomp được triển khai trong quy trình Zygote, quy trình gốc cho tất cả các ứng dụng Android.

Snowblind đặc biệt nhắm mục tiêu vào các ứng dụng xử lý dữ liệu nhạy cảm bằng cách đưa vào một thư viện gốc tải trước cơ chế chống giả mạo. Nó cài đặt bộ lọc seccomp để chặn các cuộc gọi chung như 'open()', thường được sử dụng để truy cập tệp. Trong quá trình kiểm tra giả mạo APK của ứng dụng mục tiêu, bộ lọc seccomp của Snowblind sẽ ngăn chặn các cuộc gọi tòa nhà trái phép và kích hoạt tín hiệu SIGSYS, cho biết đối số tòa nhà không hợp lệ.

Để tránh bị phát hiện, Snowblind cài đặt bộ xử lý tín hiệu cho SIGSYS. Trình xử lý này kiểm tra và sửa đổi các thanh ghi của luồng, cho phép phần mềm độc hại thao túng các đối số của tòa nhà cao tầng 'open()'. Các nhà nghiên cứu giải thích rằng thao tác này chuyển hướng mã chống giả mạo để xem phiên bản APK không bị thay đổi.

Do cách tiếp cận có mục tiêu, bộ lọc seccomp có tác động tối thiểu đến hiệu suất và dấu chân hoạt động, khiến người dùng khó có thể phát hiện những bất thường trong quá trình sử dụng ứng dụng thông thường.

Snowblind cho phép kẻ tấn công thực hiện nhiều hành động có hại khác nhau

Phương pháp được sử dụng trong các cuộc tấn công Snowblind dường như tương đối ít được biết đến và các nhà nghiên cứu chỉ ra rằng hầu hết các ứng dụng không được trang bị để chống lại nó. Kiểu tấn công này hoạt động kín đáo, gây ra rủi ro đáng kể trong việc xâm phạm thông tin đăng nhập. Hơn nữa, phần mềm độc hại có khả năng vô hiệu hóa các tính năng bảo mật ứng dụng quan trọng như xác thực hai yếu tố và xác minh sinh trắc học.

Những kẻ tấn công có thể tận dụng kỹ thuật này để truy cập thông tin nhạy cảm trên màn hình, điều hướng thiết bị, thao túng ứng dụng và phá vỡ các giao thức bảo mật bằng cách tự động hóa các hành động thường yêu cầu sự tương tác của người dùng. Ngoài ra, họ có thể trích xuất thông tin nhận dạng cá nhân và dữ liệu giao dịch.

Mức độ ảnh hưởng của chiến dịch tấn công Snowblind tới các ứng dụng vẫn chưa rõ ràng. Hơn nữa, có lo ngại rằng các tác nhân đe dọa khác có thể áp dụng phương pháp này để trốn tránh các biện pháp bảo vệ của Android trong tương lai.