Snowblind: хакеры злоупотребляют «слепым пятном» в защитной системе Android

Новая вредоносная техника под названием Snowblind атакует приложения на Android, используя необычный метод обхода защиты. Эксперты по безопасности мобильных приложений из компании Promon обнаружили, что Snowblind злоупотребляет функцией безопасности Linux под названием «seccomp».

Seccomp (Secure Computing Mode) — это функция ядра Linux, которая ограничивает системные вызовы, доступные приложениям, тем самым уменьшая поверхность потенциальной атаки. Google внедрил seccomp в Android 8 (Oreo) для защиты пользователей от вредоносных действий.

Цель Snowblind — переупаковать целевое приложение, чтобы оно не могло обнаруживать злоупотребление службами специальных возможностей, которые позволяют вредоносному ПО получать вводимые пользователем данные, такие как учётные данные, или получать доступ к удаленному управлению для выполнения других вредоносных действий.

В первую очередь вредонос нацеливается на приложения, обрабатывающие конфиденциальные данные. Для этого Snowblind внедряет собственную библиотеку, которая загружается до кода защиты от подделки, и устанавливает фильтр seccomp для перехвата системных вызовов.

Когда проверяется APK целевого приложения, фильтр seccomp, установленный Snowblind, не позволяет вызову продолжиться. Вместо этого он вызывает сигнал SIGSYS, указывающий на ошибку в системном вызове. Snowblind также устанавливает обработчик сигналов для SIGSYS, чтобы проверять и манипулировать регистрами потока.

Таким образом, вредоносная программа может изменять аргументы системного вызова «open()», указывая коду защиты от подделки на прежнюю версию APK. Из-за целенаправленного характера фильтра seccomp влияние на производительность минимально, поэтому пользователь вряд ли заметит что-либо во время нормальной работы приложения.

Для более наглядного понимания сути атаки рекомендуем ознакомиться с видеозаписью, прикреплённой исследователями к своему отчёту:

Эксперты Promon считают, что большинство приложений не защищены от этой техники. Snowblind может использоваться для отключения различных функций безопасности в приложениях, таких как двухфакторная аутентификация или биометрическая проверка.

По данным Promon, использование техники Snowblind уже было замечено при атаке на приложение клиента компании i-Sprint в Юго-Восточной Азии. Однако неясно, сколько приложений было атаковано на данный момент. Существует вероятность, что этот метод могут перенять и другие злоумышленники для обхода встроенных механизмов защиты Android.

«Корпорация добра» заявляет, что в настоящее время в Google Play не обнаружено приложений, содержащих вредоносный код, работающий по принципу Snowblind. Более того, пользователи Android автоматически защищены от известных версий этого вредоносного ПО с помощью Google Play Protect, который по умолчанию включён на устройствах Android с сервисами Google. Тем не менее, всегда существует риск, что злоумышленники обойдут и эту меру защиты.

Старайтесь всегда устанавливать мобильные приложения только из официального магазина Google. И даже среди них стоит выбирать лишь проверенные и известные продукты с высокими оценками и большим количеством отзывов. Только так получится избежать подобных киберугроз, сохранив свои данные и денежные средства в безопасности.