一種名為 Snowblind 的新型 Android 惡意軟體使用新技術來攻擊智慧型手機上安裝的應用程式。這種極其有效的策略使您的個人資料更容易在您不知情的情況下被盜。
Promon 安全研究人員敲響了警鐘。幾個月來,名為 Snowblind 的 Android 惡意軟體一直在利用一種新技術“攻擊Android應用程式”。該病毒被稱為銀行特洛伊木馬,旨在竊取用戶的個人數據,包括識別碼。
為了達到其目的,惡意軟體濫用Android Linux 核心內建的安全機制, 受洗« seccomp »(安全計算)。自 Android 8 Oreo 起,這種保護旨在限制應用程式可以進行的系統調用,從而限制與作業系統互動的可能性。最終,該協定減少了潛在的攻擊面。
另請閱讀:駭客找到了繞過雙重認證的技巧
繞過 Android 應用程式保護
病毒會利用這機制繞過Android的篡改保護。這些保護措施已到位,以防止對已安裝的應用程式進行未經授權的更改。透過利用安全運算,Snowblind 可以修改應用程式並利用 Android 的輔助服務來竊取使用者的個人資料。這些設定本應幫助視障人士使用智慧型手機,但經常被惡意軟體劫持。這也是營運模式Medusa 惡意軟體的最新變種。
具體來說,Snowblind 會在安全機制之前將程式碼注入目標應用程式反對更改被啟動。然後是惡意軟體配置一個“seccomp”過濾器,這將允許它操縱或監視訪問到應用程式檔案。駭客實際上意識到“對他們所針對的應用程式進行重新打包攻擊,其中檢測惡意可訪問服務的應用程式程式碼部分被操縱,使其永遠不會檢測到任何內容”。這種攻擊非常常見,但是透過以下方法得到了改進“基於 seccomp 的鮮為人知的技術”。流程的組合使網路犯罪分子能夠實現他們的目標。
這項策略也讓 Snowblind 能夠謹慎行事。安全計算的利用實際上限制了對效能的影響。受害者完全感覺不到這種攻擊。研究人員表示,該惡意軟體最終達到了“讀取螢幕上顯示的敏感資訊、導航設備、控制應用程式、透過通常需要用戶幹預的自動化互動來繞過安全措施”,並且到“洩漏敏感的個人識別資訊”。
鮮為人知的攻擊
根據 Promon 研究人員的說法,這種策略是仍然很大程度上未知。事實上,應用程式開發人員尚未針對此類網路攻擊實施保護措施。該安全公司在報告中表示,尚未“以前從未見過 seccomp 被用作攻擊媒介,我們驚訝地發現,如果惡意使用它,它會變得多麼強大和多才多藝”。
“攻擊者現在擁有一個強大的新工具可以有效地攻擊應用程式”,與 en garde Promon 一起。
專家注意到,Snowblind 參與了對亞洲開發人員擁有的一款應用程式的攻擊。目前尚不清楚該惡意軟體目前是否被用來對 Android 應用程式進行其他網路攻擊。聯絡方式電腦發出蜂鳴聲,Google 保證 Play 商店中沒有發現被 Snowblind 感染的應用程式。
🔴為了不錯過任何01net新聞,請關注我們谷歌新聞等WhatsApp。
來源 : 海角
