Android estei vizat de n nou program malware, denumit Snowblind, pune în pericol utilizatorii, abuzând de o funcție de securitate pentru a ocoli protecțiile anti-modificare. Acesta reambalează aplicațiile țintă, permițând accesul neautorizat la date sensibile precum acreditările utilizatorilor și controlul de la distanță al dispozitivului. Spre deosebire de alte programe malware Android, Snowblind exploatează „seccomp”, o caracteristică a nucleului Linux folosită de Android pentru a asigura integritatea aplicațiilor.
Snowblind își atinge obiectivul prin injectarea unei biblioteci native care se încarcă înainte de codul anti-modificare al aplicației vizate. Aceasta instalează un filtru seccomp pentru a intercepta apelurile de sistem, cum ar fi „open() syscall”, utilizat frecvent pentru accesarea fișierelor. În timpul verificării APK-ului pentru manipulare, filtrul seccomp al lui Snowblind blochează apelul și declanșează un semnal SIGSYS, indicând un argument defectuos.
Tehnica inovativă folosită de Snowblind exploatează seccomp pentru a manipula apelurile de sistem și a redirecționa codul anti-modificare către o versiune nemodificată a APK-ului. Acest lucru minimizează impactul asupra performanței și face dificilă detectarea atacului de către utilizatorii Android. Cercetătorii de la Promon, o companie de securitate a aplicațiilor mobile, au analizat acest malware după ce au primit un eșantion de la i-Sprint, un partener specializat în protecția sistemului de identitate.
Desscoperirea Oficiala pentru Android, cu un PERICOL Major, ce Spune Google
Snowblind poate dezactiva funcții de securitate esențiale în aplicații, cum ar fi autentificarea cu doi factori sau verificarea biometrică. Acest lucru permite atacatorilor să citească informații sensibile afișate pe ecran, să controleze dispozitivul și să exfiltreze date personale și de tranzacții. Promon a observat că Snowblind vizează o aplicație a unui client i-Sprint din Asia de Sud-Est, dar nu este clar câte aplicații au fost afectate până acum.
Google a fost contactat pentru un comentariu privind abuzul de seccomp în atacurile împotriva Android. Un purtător de cuvânt a declarat că, pe baza detectărilor actuale, nu s-au găsit aplicații conținând acest malware pe Google Play. Utilizatorii Android sunt protejați automat împotriva versiunilor cunoscute ale Snowblind prin Google Play Protect, activat implicit pe dispozitivele cu Servicii Google Play. Acest serviciu poate avertiza utilizatorii sau bloca aplicațiile malicioase chiar și atunci când provin din surse externe Play.
Snowblind reprezintă o nouă amenințare majoră pentru utilizatorii de Android, exploatând seccomp pentru a ocoli protecțiile anti-modificare și a obține acces la date sensibile. Este esențial ca utilizatorii să fie vigilenți și să își actualizeze constant dispozitivele pentru a beneficia de cele mai recente protecții oferite de Google Play Protect. Industria de securitate trebuie să rămână proactivă în detectarea și prevenirea unor astfel de atacuri inovative, pentru a proteja utilizatorii și datele acestora.
Pentru a minimiza riscurile, utilizatorii Android sunt sfătuiți să descarce aplicații doar din surse de încredere, să verifice permisiunile aplicațiilor și să folosească soluții de securitate pentru dispozitivele mobile. Google continuă să îmbunătățească securitatea platformei Android, iar utilizatorii ar trebui să fie conștienți de riscurile și să ia măsuri proactive pentru a se proteja împotriva amenințărilor cibernetice.
