Snowshind olarak izlenen bir kötü amaçlı yazılım parçasından yeni bir Android saldırı vektörü, hassas kullanıcı verilerini işleyen uygulamalarda mevcut anti-ayar korumalarını atlamak için bir güvenlik özelliğini kötüye kullanıyor.
Snow Cling'in amacı, kimlik bilgileri gibi kullanıcı girişi almasını sağlayan erişilebilirlik hizmetlerinin kötüye kullanılmasını tespit edememelerini sağlamak veya kötü niyetli eylemler çalıştırmak için uzaktan kumanda erişimini alamamaları için bir hedef uygulamayı yeniden paketlemektir.
Bununla birlikte, diğer Android kötü amaçlı yazılımlardan farklı olarak, Snowblind 'Seccomp' i Güvenli Hesaplama Kısacası, Android'in uygulamalarda bütünlük kontrolleri için kullandığı bir Linux çekirdek özelliği, kullanıcıları uygulama yeniden ambalajı gibi kötü niyetli eylemlere karşı korumak için kötüye kullanıyor.
Mobil uygulama güvenlik şirketi Promon, Snowblind'in işletmelere erişim ve kimlik sistemi korumaları sağlayan bir ortak olan I-SPRINT'ten bir örnek aldıktan sonra hedefini nasıl tespit ettiğini analiz edebildi.
"Bu kötü amaçlı yazılım, i -sprint’in Güneydoğu Asya müşterilerinden birinin uygulamasına saldırdı. Snowblind analizimiz, Linux çekirdek özelliğine dayalı Android uygulamalarına saldırmak için yeni bir teknik kullandığını buldu" - Promon
SECComp, yapabilecekleri sistem çağrılarını (syscalls) kısıtlayarak uygulamaların saldırı yüzeyini azaltmak için tasarlanmış bir Linux çekirdek güvenlik özelliğidir. Saldırılarda istismar edilenleri engelleyerek bir uygulamanın çalışmasına izin verilen Syscalls için bir filtre görevi görür.
Google, Android 8'de (OREO) ilk entegre SECComp, tüm Android uygulamalarının ana süreci olan Zigote sürecinde uyguladı.
Snowblind, anti ayarlama kodundan önce yüklenen bir ana kütüphane enjekte ederek hassas verileri işleyen uygulamaları hedefler ve dosya erişiminde yaygın olarak kullanılan ‘Open () Syscall’ gibi sistem çağrılarını engellemek için bir SECComp filtresi yükler.
Hedef uygulamanın APK'sı kurcalama için kontrol edildiğinde, Snowblind'in SECComp filtresi çağrının devam etmesine izin vermez ve bunun yerine sürecin sistem çağrısına kötü bir argüman gönderdiğini gösteren bir Sigsys sinyalini tetikler.
Araştırmacılar, Sigsys'in onu incelemesi ve iş parçacığının kayıtlarını manipüle etmesi için bir sinyal işleyicisi kurar.
Bu şekilde, kötü amaçlı yazılım ‘açık ()’ sistem çağrısı bağımsız değişkenlerini, anti-zımpara kodu APK'nın değiştirilmemiş bir sürümüne yönlendirmek için değiştirebilir.
SECCOMP filtresinin hedeflenen doğası nedeniyle, performans etkisi ve operasyonel ayak izi minimaldir, bu nedenle kullanıcının normal uygulama işlemleri sırasında herhangi bir şey fark etmesi olası değildir.
Promon, kar kumu saldırılarında gözlemlenen tekniğin "iyi bilinmediğini" ve araştırmacıların çoğu uygulamanın buna karşı korunmadığına inanıyor.
Saldırının nasıl çalıştığını gösteren bir videoda, araştırmacılar bir kar kesi saldırısının kullanıcı için tamamen görünmez olduğunu ve giriş bilgileri sızdırmaya neden olabileceğini gösteriyor.
Araştırmacılar, BleepingComputer'a, iki faktörlü kimlik doğrulama veya biyometrik doğrulama gibi uygulamalarda çeşitli güvenlik özelliklerini devre dışı bırakmak için kar kesicinin kullanılabileceğini söyledi.
Bir saldırgan "ekranda görüntülenen hassas bilgileri okumak, cihazda gezinmek veya uygulamalarda gezinmek, genellikle kullanıcı müdahalesini gerektirecek etkileşimleri otomatikleştirerek güvenlik önlemlerini atlamak ve aynı zamanda hassas kişisel olarak tanımlanabilir bilgi ve işlem verilerini eklemek" tekniğini kullanabilir.
Promon, Snowshind'in Güneydoğu Asya'da bir I-Pint müşterisinin bir uygulamasını hedeflediğini söylüyor. Ancak, şu ana kadar kaç uygulamanın hedeflendiği belirsiz. Ayrıca, yöntem Android'deki korumaları atlamak için diğer rakipler tarafından benimsenebilir.
BleepingComputer, SECComp'in Android korumalarını atlamak için aktif olarak kötüye kullanılması hakkında bir yorum isteği ile Google ile iletişime geçti ve bir sözcü aşağıdaki ifadeyle yanıt verdi:
Şirket sözcüsü, "Google Play Protect, bu uygulamalar oyun dışındaki kaynaklardan gelse bile, kullanıcıları veya kötü niyetli davranışlar sergilediği bilinen uygulamaları engelleyebilir."
Yeni Medusa Kötü Yazılım Varyantları Yedi Ülkede Android Kullanıcıları Hedef
Google Play'de 5.5 milyon yüklemeli 90'dan fazla kötü niyetli Android uygulaması
Android 15, Google Play Protect Yeni Anti-Yazılım Karşıtı ve Kaçışla Mücadele Özellikleri Alın
Finlandiya, banka hesaplarını ihlal eden Android kötü amaçlı yazılım saldırılarını uyarıyor
Yeni Wpeeper Android kötü amaçlı yazılım, hacklenen WordPress sitelerinin arkasına saklanıyor
Kaynak: Bleeping Computer