Usando uma estratégia singular, o Malware Snowblind contorna a segurança do Android abusando de um recurso de segurança do sistema. What?
Um novo vetor de ataque ao Android de um malware rastreado como Snowblind (neve cega, ou algo assim) está abusando de um recurso de segurança para contornar as proteções anti-adulteração existentes em aplicativos que lidam com dados confidenciais do usuário.
Malware Snowblind contorna a segurança do Android
O objetivo do Snowblind é reempacotar um aplicativo de destino para torná-lo incapaz de detectar abuso de serviços de acessibilidade que permitem obter informações do usuário, como credenciais, ou obter acesso de controle remoto para executar ações maliciosas.
Ao contrário de outros malwares Android, porém, o Snowblind abusa do ‘seccomp’, abreviação de computação segura, um recurso do kernel Linux que o Android usa para verificações de integridade em aplicativos, para proteger os usuários contra ações maliciosas, como reempacotamento de aplicativos.
A empresa de segurança de aplicativos móveis Promon conseguiu analisar como o Snowblind atinge seu objetivo sem ser detectado após receber uma amostra da i-Sprint, parceira que fornece proteções de sistema de acesso e identidade para empresas.
“Este malware atacou o aplicativo de um dos clientes do Sudeste Asiático da i-Sprint. Nossa análise do Snowblind descobriu que ele usa uma nova técnica para atacar aplicativos Android baseados no recurso seccomp do kernel Linux” – Promon
Seccomp é um recurso de segurança do kernel Linux projetado para reduzir a superfície de ataque de aplicativos, restringindo as chamadas de sistema (syscalls) que eles podem fazer.
Ele atua como um filtro para as syscalls que um aplicativo pode executar, bloqueando aquelas que foram abusadas em ataques.
O Google integrou pela primeira vez o seccomp no Android 8 (Oreo), implementando-o no processo Zygote, que é o processo pai de todos os aplicativos Android.
O Snowblind tem como alvo aplicativos que lidam com dados confidenciais, injetando uma biblioteca nativa que carrega antes do código anti-adulteração e instala um filtro seccomp para interceptar chamadas do sistema, como o ‘open() syscall’, comumente usado no acesso a arquivos.
Quando o APK do aplicativo de destino é verificado quanto a adulteração, o filtro seccomp do Snowblind não permite que a chamada prossiga e, em vez disso, aciona um sinal SIGSYS indicando que o processo enviou um argumento incorreto para a chamada do sistema.
Snowblind também instala um manipulador de sinal para SIGSYS para inspecioná-lo e manipular os registros do thread, explicam os pesquisadores em um relatório compartilhado com o BleepingComputer.
Dessa forma, o malware pode modificar os argumentos de chamada do sistema ‘open()’ para apontar o código anti-adulteração para uma versão não modificada do APK.
Devido à natureza direcionada do filtro seccomp, o impacto no desempenho e a pegada operacional são mínimos, portanto é improvável que o usuário perceba alguma coisa durante as operações normais do aplicativo.
Cenários de ataque
A Promon afirma que a técnica observada nos ataques Snowblind “não parece ser muito conhecida” e os pesquisadores acreditam que a maioria dos apps não protege contra ela.
Em um vídeo que demonstra como funciona o ataque, os pesquisadores mostram que um ataque Snowblind é completamente invisível para o usuário e pode resultar no vazamento de credenciais de login.
Os pesquisadores disseram ao BleepingComputer que o Snowblind pode ser usado para desativar vários recursos de segurança em aplicativos, como autenticação de dois fatores ou verificação biométrica.
Um invasor pode usar a técnica “para ler informações confidenciais exibidas na tela, navegar no dispositivo ou controlar aplicativos, contornar medidas de segurança automatizando interações que normalmente exigiriam a intervenção do usuário, bem como exfiltrar informações confidenciais de identificação pessoal e dados de transações”.
A Promon diz que o Snowblind foi observado visando um aplicativo de um cliente da i-Sprint no Sudeste Asiático.
No entanto, não está claro quantos aplicativos foram alvo até agora. Além disso, o método poderia ser adotado por outros adversários para contornar as proteções no Android.
O site BleepingComputer entrou em contato com o Google com um pedido de comentário sobre o abuso ativo do seccomp para contornar as proteções do Android, e um porta-voz respondeu com a seguinte declaração:
“Com base na nossa detecção atual, nenhum aplicativo contendo esse malware foi encontrado no Google Play.
Os usuários do Android são automaticamente protegidos contra versões conhecidas desse malware pelo Google Play Protect, que está ativado por padrão em dispositivos Android com Google Play Services.”
O porta-voz da empresa acrescentou que “o Google Play Protect pode alertar os usuários ou bloquear aplicativos conhecidos por apresentarem comportamento malicioso, mesmo quando esses aplicativos vêm de fontes fora do Play”.
