雪盲行動惡意軟體

一種名為 Snowblind 的新型 Android 惡意軟體利用安全功能來繞過管理敏感用戶資料的應用程式中目前的防篡改保護。 Snowblind 的目標是重新包裝目標應用程序，以便它們無法檢測到無障礙服務的濫用。這使得惡意軟體能夠捕獲使用者輸入（例如憑證）或獲得遠端控制來執行惡意活動。

Snowblind 與其他 Android 惡意軟體的區別在於它利用了「seccomp」（安全計算），這是 Android 用於應用程式完整性檢查的 Linux 核心功能。此功能旨在保護使用者免受應用程式重新打包等不安全操作的影響。

利用安全功能危害設備

對 Snowblind 的分析揭示了其透過利用 Linux 核心功能「seccomp」來攻擊 Android 應用程式的創新方法。 Seccomp 是一種安全機制，可限制應用程式可以執行的系統呼叫 (syscall)，從而減少其攻擊面。 seccomp 最初由 Google 整合在 Android 8 (Oreo) 中，在 Zygote 進程（所有 Android 應用程式的父進程）中實作。

Snowblind 透過注入在防篡改機制之前載入的本機程式庫來專門針對處理敏感資料的應用程式。它安裝了一個 seccomp 過濾器來攔截諸如“open()”之類的系統調用，通常用於檔案存取。在對目標應用程式的 APK 進行篡改檢查期間，Snowblind 的 seccomp 過濾器會阻止未經授權的系統呼叫並觸發 SIGSYS 訊號，指示無效的系統呼叫參數。

為了規避偵測，Snowblind 為 SIGSYS 安裝了訊號處理程序。此處理程序檢查並修改執行緒的暫存器，使惡意軟體能夠操縱「open()」系統呼叫的參數。研究人員解釋說，這種操作會重定向防篡改程式碼以查看 APK 的未更改版本。

由於其有針對性的方法，seccomp 過濾器對效能的影響和操作佔用空間最小，使用戶不太可能在常規應用程式使用期間檢測到異常情況。

Snowblind 允許攻擊者執行各種有害行為

Snowblind 攻擊中採用的方法似乎相對未知，研究人員表示大多數應用程式都沒有能力防禦它。這種類型的攻擊進行得很謹慎，會帶來登入憑證外洩的重大風險。此外，該惡意軟體還能夠停用關鍵應用程式安全功能，例如雙重認證和生物識別驗證。

攻擊者可以利用此技術存取敏感的螢幕資訊、導航設備、操縱應用程式以及透過自動執行通常需要用戶互動的操作來規避安全協議。此外，他們還可以提取個人識別資訊和交易資料。

Snowblind 攻擊活動對應用程式的影響程度仍不清楚。此外，人們擔心其他威脅行為者將來可能會採用這種方法來逃避 Android 保護。