Mobile Malware Snowblind

Eine neuartige Android-Malware namens Snowblind nutzt eine Sicherheitsfunktion aus, um aktuelle Manipulationsschutzmechanismen in Apps zu umgehen, die vertrauliche Benutzerdaten verwalten. Snowblind zielt darauf ab, Zielanwendungen so umzupacken, dass sie den Missbrauch von Zugänglichkeitsdiensten nicht erkennen können. Dadurch kann die Malware Benutzereingaben wie Anmeldeinformationen erfassen oder Fernsteuerung erlangen, um bösartige Aktivitäten auszuführen.

Was Snowblind von anderer Android-Malware unterscheidet, ist die Nutzung von „seccomp“ (Secure Computing), einer Linux-Kernel-Funktion, die von Android zur Überprüfung der Anwendungsintegrität verwendet wird. Diese Funktion soll Benutzer vor unsicheren Aktionen wie dem Neuverpacken von Anwendungen schützen.

Ausnutzen von Sicherheitsfunktionen zur Gefährdung von Geräten

Die Analyse von Snowblind zeigt, dass es eine innovative Methode zum Angriff auf Android-Anwendungen durch Ausnutzung der Linux-Kernel-Funktion „seccomp“ ist. Seccomp ist ein Sicherheitsmechanismus, der die Systemaufrufe (Syscalls) begrenzt, die Anwendungen ausführen können, und so ihre Angriffsfläche verringert. Seccomp wurde ursprünglich von Google in Android 8 (Oreo) integriert und im Zygote-Prozess implementiert, dem übergeordneten Prozess für alle Android-Anwendungen.

Snowblind zielt speziell auf Anwendungen ab, die sensible Daten verarbeiten, indem es eine native Bibliothek einfügt, die vor den Manipulationsschutzmechanismen geladen wird. Es installiert einen Seccomp-Filter, um Systemaufrufe wie „open()“ abzufangen, die häufig für den Dateizugriff verwendet werden. Während der Manipulationsprüfungen des APK der Zielanwendung verhindert der Seccomp-Filter von Snowblind nicht autorisierte Systemaufrufe und löst ein SIGSYS-Signal aus, das ein ungültiges Systemaufrufargument anzeigt.

Um die Erkennung zu umgehen, installiert Snowblind einen Signalhandler für SIGSYS. Dieser Handler überprüft und ändert die Register des Threads, sodass die Malware die Argumente des Systemaufrufs „open()“ manipulieren kann. Forscher erklären, dass diese Manipulation den Manipulationsschutzcode umleitet, um eine unveränderte Version der APK anzuzeigen.

Aufgrund seines zielgerichteten Ansatzes hat der Seccomp-Filter nur minimale Auswirkungen auf die Leistung und den Betriebsaufwand, sodass es unwahrscheinlich ist, dass Benutzer bei der normalen Verwendung der Anwendung Anomalien feststellen.

Snowblind ermöglicht Angreifern verschiedene schädliche Aktionen

Die Methode, die bei Snowblind-Angriffen zum Einsatz kommt, scheint relativ unbekannt zu sein, und Forscher weisen darauf hin, dass die meisten Apps nicht darauf vorbereitet sind, sich dagegen zu verteidigen. Diese Art von Angriff läuft diskret ab und birgt ein erhebliches Risiko, Anmeldeinformationen zu kompromittieren. Darüber hinaus kann die Malware wichtige App-Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung und biometrische Überprüfung deaktivieren.

Angreifer können diese Technik nutzen, um auf vertrauliche Bildschirminformationen zuzugreifen, Geräte zu steuern, Anwendungen zu manipulieren und Sicherheitsprotokolle zu umgehen, indem sie Aktionen automatisieren, die normalerweise eine Benutzerinteraktion erfordern. Darüber hinaus können sie personenbezogene Informationen und Transaktionsdaten extrahieren.

Das Ausmaß der Auswirkungen der Snowblind-Angriffskampagne auf Anwendungen bleibt unklar. Darüber hinaus besteht die Sorge, dass andere Bedrohungsakteure diese Methode in Zukunft anwenden könnten, um den Android-Schutz zu umgehen.