Το νέο Snowblind malware κάνει κατάχρηση μιας δυνατότητας ασφαλείας για να παρακάμψει τις υπάρχουσες προστασίες σε Android συσκευές και να κλέψει ευαίσθητα δεδομένα χρήστη από διάφορες εφαρμογές.
Ο στόχος του Snowblind είναι να τροποποιήσει μια εφαρμογή-στόχο, ώστε να μην μπορεί να ανιχνεύσει την κατάχρηση των υπηρεσιών προσβασιμότητας. Έτσι το malware μπορεί να αποκτά στοιχεία χρήστη, όπως credentials, ή να αποκτά απομακρυσμένη πρόσβαση για την εκτέλεση κακόβουλων ενεργειών.
Αυτό που διαφοροποιεί το Snowblind malware, είναι ότι καταχράται το «seccomp» ( secure computing), μια δυνατότητα Linux kernel που χρησιμοποιεί το Android για να κάνει ελέγχους σε εφαρμογές και να προστατεύει τους χρήστες από κακόβουλες ενέργειες, όπως το application repackaging (αυτό δηλαδή που κάνει το συγκεκριμένο malware).
Δείτε επίσης: Android: Νέες επιθέσεις του Medusa banking trojan
Snowblind malware: Κατάχρηση της λειτουργίας ασφαλείας seccomp
Η εταιρεία ασφάλειας Promon μπόρεσε να αναλύσει τον τρόπο με τον οποίο το Snowblind πετυχαίνει τον στόχο του χωρίς να εντοπίζεται.
“Αυτό το κακόβουλο λογισμικό επιτέθηκε στην εφαρμογή ενός πελάτη της i-Sprint στη Νοτιοανατολική Ασία. Η ανάλυσή μας για το Snowblind διαπίστωσε ότι χρησιμοποιεί μια νέα τεχνική για να επιτεθεί σε εφαρμογές Android, που βασίζεται στο seccomp“, είπε η εταιρεία.
Το Seccomp είναι μια δυνατότητα ασφαλείας Linux kernel που έχει σχεδιαστεί για να ενισχύει την ασφάλεια των εφαρμογών, περιορίζοντας τα system calls (syscalls) που μπορούν να πραγματοποιήσουν. Λειτουργεί ως φίλτρο για τα syscals που επιτρέπεται να εκτελούνται σε μια εφαρμογή, αποκλείοντας αυτά που έχουν χρησιμοποιηθεί σε επιθέσεις.
Η Google ενσωμάτωσε για πρώτη φορά το seccomp στο Android 8 (Oreo), εφαρμόζοντάς το στο Zygote process (το parent process όλων των εφαρμογών Android).
Το Snowblind malware στοχεύει εφαρμογές που χειρίζονται ευαίσθητα δεδομένα εισάγοντας ένα native library που φορτώνεται πριν από το anti-tampering code. Εγκαθιστά ένα φίλτρο seccomp για να παρεμβαίνει στα system calls, όπως το «open() syscall», που χρησιμοποιείται συνήθως στην πρόσβαση αρχείων.
Όταν το APK της εφαρμογής στόχου ελέγχεται για παραβίαση, το φίλτρο seccomp του Snowblind malware δεν επιτρέπει τη συνέχιση του call και αντ’ αυτού ενεργοποιεί ένα σήμα SIGSYS, που υποδεικνύει ότι η διαδικασία έστειλε ένα bad argument στο system call.
Δείτε επίσης: Σιγκαπούρη: Δύο άνδρες κατηγορούνται για διανομή Android malware
To Snowblind εγκαθιστά επίσης ένα signal handler για το SIGSYS. Με αυτόν τον τρόπο, το κακόβουλο λογισμικό μπορεί να τροποποιήσει τα ‘open()’ system call arguments για να κατευθύνει το anti-tampering code σε μια μη τροποποιημένη έκδοση του APK.
Οι ερευνητές της Promon λένε ότι η τεχνική που χρησιμοποιείται στις επιθέσεις του Snowblind “δεν φαίνεται να είναι γνωστή“, επομένως πολλές εφαρμογές δεν προστατεύονται από αυτή.
Σύμφωνα με τους ερευνητές, οι χρήστες δεν καταλαβαίνουν τίποτα και το Snowblind malware κλέβει άνετα credentials από τις συσκευές.
Οι ερευνητές είπαν στο BleepingComputer ότι το Snowblind μπορεί να χρησιμοποιηθεί για την απενεργοποίηση διαφόρων λειτουργιών ασφαλείας σε εφαρμογές, όπως ο έλεγχος ταυτότητας δύο παραγόντων ή η βιομετρική επαλήθευση.
Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει την τεχνική “για να διαβάσει ευαίσθητες πληροφορίες που εμφανίζονται στην οθόνη, να πλοηγηθεί στη συσκευή ή να ελέγξει τις εφαρμογές, να παρακάμψει μέτρα ασφαλείας, καθώς και να κλέψει ευαίσθητες προσωπικές πληροφορίες και δεδομένα συναλλαγών“.
Δείτε επίσης: Malware εκστρατεία στοχεύει Windows, Android και macOS
Το Snowblind malware είναι μόνο ένας από τους πολλούς αναδυόμενους Android attack vectors που υπογραμμίζουν την ανάγκη για τους χρήστες και τους προγραμματιστές να παραμείνουν σε επαγρύπνηση έναντι των εξελισσόμενων απειλών στον κυβερνοχώρο. Κατανοώντας πώς λειτουργούν αυτές οι επιθέσεις και λαμβάνοντας προληπτικά μέτρα για την προστασία των προσωπικών συσκευών, μπορούμε να μετριάσουμε τον αντίκτυπο τέτοιων κακόβουλων δραστηριοτήτων. Καθώς η τεχνολογία συνεχίζει να προοδεύει, είναι σημαντικό να παραμένουμε ενημερωμένοι και να λαμβάνουμε τις απαραίτητες προφυλάξεις για να προστατεύσουμε την ψηφιακή μας ζωή. Έτσι, η επίγνωση των νέων απειλών, όπως το Snowblind, μπορεί να συμβάλει σημαντικά στη διατήρηση της ασφάλειας των συσκευών και των δεδομένων μας.
Πηγή: www.bleepingcomputer.com
