一种名为 Snowblind 的新型 Android 恶意软件使用新技术来攻击智能手机上安装的应用程序。这种极其有效的策略使您的个人数据更容易在您不知情的情况下被盗。
Promon 安全研究人员敲响了警钟。几个月来,名为 Snowblind 的 Android 恶意软件一直在利用一种新技术“攻击Android应用程序”。该病毒被称为银行特洛伊木马,旨在窃取用户的个人数据,包括标识符。
为了达到其目的,恶意软件滥用Android Linux 内核中内置的安全机制, 受洗« seccomp »(安全计算)。自 Android 8 Oreo 起,这种保护旨在限制应用程序可以进行的系统调用,从而限制与操作系统交互的可能性。最终,该协议减少了潜在的攻击面。
另请阅读:黑客找到了绕过双因素身份验证的技巧
绕过 Android 应用程序保护
病毒会利用这一机制绕过Android的篡改保护。这些保护措施已到位,以防止对已安装的应用程序进行未经授权的更改。通过利用安全计算,Snowblind 可以修改应用程序并利用 Android 的辅助服务来窃取用户的个人数据。这些设置本应帮助视障人士使用智能手机,但经常被恶意软件劫持。这也是运营模式Medusa 恶意软件的最新变种。
具体来说,Snowblind 会在安全机制之前将代码注入目标应用程序反对更改被激活。然后是恶意软件配置一个“seccomp”过滤器,这将允许它操纵或监视访问到应用程序文件。黑客实际上意识到“对他们所针对的应用程序进行重新打包攻击,其中检测恶意可访问服务的应用程序代码部分被操纵,使其永远不会检测到任何内容”。这种攻击非常常见,但是通过以下方法得到了改进“基于 seccomp 的鲜为人知的技术”。流程的组合使网络犯罪分子能够实现他们的目标。
这一策略也让 Snowblind 能够谨慎行事。安全计算的利用实际上限制了对性能的影响。受害者完全感觉不到这种攻击。研究人员表示,该恶意软件最终达到了“读取屏幕上显示的敏感信息、导航设备、控制应用程序、通过通常需要用户干预的自动化交互来绕过安全措施”,并且到“泄露敏感的个人身份信息”。
鲜为人知的攻击
根据 Promon 研究人员的说法,这种策略是仍然很大程度上未知。事实上,应用程序开发人员尚未针对此类网络攻击实施保护措施。该安全公司在其报告中表示,尚未“以前从未见过 seccomp 被用作攻击媒介,我们惊讶地发现,如果恶意使用它,它会变得多么强大和多才多艺”。
“攻击者现在拥有一个强大的新工具可以有效地攻击应用程序”,与 en garde Promon 一起。
专家注意到,Snowblind 参与了对亚洲开发商拥有的一款应用程序的攻击。目前尚不清楚该恶意软件目前是否被用来对 Android 应用程序进行其他网络攻击。联系方式电脑发出蜂鸣声,Google 保证 Play 商店中没有发现被 Snowblind 感染的应用程序。
来源 : 海角
