Új, fejlett Android malware: Snowblind

Biztonsági kutatók egy újonnan azonosított, Snowblind néven ismert Android malware-ről adtak hírt, amely egy biztonsági funkciót használ ki az érzékeny felhasználói adatokat kezelő alkalmazások manipuláció elleni védelmének megkerülésére. A tipikus Android malware-ekkel ellentétben a Snowblind kihasználja a “seccomp” (secure computing) funkciót, amely az Androidba integrált Linux kernel integritás-ellenőrzési funkciója, hogy elkerülje a felismerést és rosszindulatú tevékenységeket hajtson végre.

A Snowblind újszerű technikája egy natív könyvtár befecskendezését jelenti a célalkalmazásba, hogy manipulálja a “seccomp” szűrőt, megakadályozva ezzel a manipulációt észlelő rendszerhívásokat. Ez lehetővé teszi a kártevő számára, hogy az alkalmazás manipuláció elleni ellenőrzéseit az APK változatlan verziójára irányítsa át, lehetővé téve a felhasználói bemenetek, például a hitelesítő adatok rögzítését és a készülék távoli irányítását. A kártevő minimális teljesítményre gyakorolt hatása biztosítja, hogy a felhasználók ne vegyenek tudomást a támadásról. A Promon, a Snowblindot elemző mobilalkalmazás-biztonsági vállalat arra figyelmeztet, hogy ezt a módszert más fenyegető szereplők is átvehetik az Android védelmének megkerülésére, ami jelentős kockázatot jelent az alkalmazások biztonságára nézve.

(forrás)

(forrás)

(forrás)