Snowblind: хакеры злоупотребляют «слепым пятном» в защитной системе Android

Новая вредоносная техника под названием Snowblind атакует приложения на Android , используя необычный метод обхода защиты. Эксперты по безопасности мобильных приложений из компании Promon обнаружили, что Snowblind злоупотребляет функцией безопасности Linux под названием «seccomp».

Seccomp (Secure Computing Mode) — это функция ядра Linux, которая ограничивает системные вызовы, доступные приложениям, тем самым уменьшая поверхность потенциальной атаки. Google внедрил seccomp в Android 8 (Oreo) для защиты пользователей от вредоносных действий.

Цель Snowblind — переупаковать целевое приложение, чтобы оно не могло обнаруживать злоупотребление службами специальных возможностей, которые позволяют вредоносному ПО получать вводимые пользователем данные, такие как учётные данные, или получать доступ к удаленному управлению для выполнения других вредоносных действий.

В первую очередь вредонос нацеливается на приложения, обрабатывающие конфиденциальные данные. Для этого Snowblind внедряет собственную библиотеку, которая загружается до кода защиты от подделки, и устанавливает фильтр seccomp для перехвата системных вызовов.

Когда проверяется APK целевого приложения, фильтр seccomp, установленный Snowblind, не позволяет вызову продолжиться. Вместо этого он вызывает сигнал SIGSYS, указывающий на ошибку в системном вызове. Snowblind также устанавливает обработчик сигналов для SIGSYS, чтобы проверять и манипулировать регистрами потока.

Таким образом, вредоносная программа может изменять аргументы системного вызова «open()», указывая коду защиты от подделки на прежнюю версию APK. Из-за целенаправленного характера фильтра seccomp влияние на производительность минимально, поэтому пользователь вряд ли заметит что-либо во время нормальной работы приложения.

Для более наглядного понимания сути атаки рекомендуем ознакомиться с видеозаписью, прикреплённой исследователями к своему отчёту:

Эксперты Promon считают, что большинство приложений не защищены от этой техники. Snowblind может использоваться для отключения различных функций безопасности в приложениях, таких как двухфакторная аутентификация или биометрическая проверка.

По данным Promon, использование техники Snowblind уже было замечено при атаке на приложение клиента компании i-Sprint в Юго-Восточной Азии. Однако неясно, сколько приложений было атаковано на данный момент. Существует вероятность, что этот метод могут перенять и другие злоумышленники для обхода встроенных механизмов защиты Android.

«Корпорация добра» заявляет, что в настоящее время в Google Play не обнаружено приложений, содержащих вредоносный код, работающий по принципу Snowblind. Более того, пользователи Android автоматически защищены от известных версий этого вредоносного ПО с помощью Google Play Protect, который по умолчанию включён на устройствах Android с сервисами Google. Тем не менее, всегда существует риск, что злоумышленники обойдут и эту меру защиты.

Старайтесь всегда устанавливать мобильные приложения только из официального магазина Google. И даже среди них стоит выбирать лишь проверенные и известные продукты с высокими оценками и большим количеством отзывов. Только так получится избежать подобных киберугроз, сохранив свои данные и денежные средства в безопасности.