Uma nova vetor de ataque em Android por meio de um malware identificado como Snowblind está explorando uma funcionalidade de segurança para burlar proteções anti-manipulação existentes em apps que gerenciam dados sensíveis dos usuários.
O objetivo do Snowblind é reempacotar um app alvo fazendo com que este não consiga detectar o abuso nos serviços de acessibilidade que permitem a obtenção de dados do usuário como credenciais, ou para obter acesso remoto e executar ações maliciosas.
Diferentemente de outros malwares Android, o Snowblind abusa do 'seccomp', abreviação de secure computing, uma funcionalidade do kernel Linux que o Android utiliza para checagens de integridade nas aplicações, a fim de proteger os usuários contra ações maliciosas como o reempacotamento de aplicativos.
A empresa de segurança de apps móveis, Promon, conseguiu analisar como o Snowblind alcança seu objetivo sem ser detectado após receber uma amostra da i-Sprint, uma parceira que fornece proteções de sistema de acesso e identidade para empresas.
Seccomp é uma funcionalidade de segurança do kernel Linux projetada para reduzir a superfície de ataque das aplicações ao restringir as chamadas de sistema (syscalls) que elas podem fazer.
Atua como um filtro para as syscalls que um app pode executar, bloqueando aquelas que foram abusadas em ataques.
O Google integrou o seccomp pela primeira vez no Android 8 (Oreo), implementando-o no processo Zygote, que é o processo pai de todos os apps Android.
O Snowblind mira em apps que lidam com dados sensíveis, injetando uma biblioteca nativa que carrega antes do código anti-manipulação e instala um filtro seccomp para interceptar chamadas de sistema como a ‘open() syscall,’ comumente usada em acesso a arquivos.
Quando o APK do app alvo é verificado quanto a manipulações, o filtro seccomp do Snowblind não permite que a chamada prossiga, disparando em vez disso um sinal SIGSYS indicando que o processo enviou um argumento errado para a chamada de sistema.
O Snowblind também instala um manipulador de sinal para o SIGSYS para inspecioná-lo e manipular os registros da thread, conforme explicam os pesquisadores em um relatório.
Assim, o malware pode modificar os argumentos da chamada de sistema ‘open()’ para apontar o código anti-manipulação para uma versão não modificada do APK.
Devido à natureza direcionada do filtro seccomp, o impacto no desempenho e a pegada operacional são mínimos, de modo que é improvável que o usuário perceba algo durante as operações normais do app.
A Promon diz que a técnica observada nos ataques do Snowblind "não parece ser bem conhecida" e os pesquisadores acreditam que a maioria dos apps não a protegem contra ela.
Em um vídeo demonstrando como o ataque funciona, os pesquisadores mostram que um ataque Snowblind é completamente invisível ao usuário e pode resultar no vazamento de credenciais de login.
Os pesquisadores disseram que o Snowblind pode ser usado para desativar várias funcionalidades de segurança nos apps, como autenticação de dois fatores ou verificação biométrica.
Um atacante poderia usar a técnica "para ler informações sensíveis exibidas na tela, navegar pelo dispositivo ou controlar apps, contornar medidas de segurança automatizando interações que normalmente requereriam intervenção do usuário, bem como exfiltrar dados sensíveis pessoais e de transações".
A Promon diz que o Snowblind foi observado visando um app de um cliente da i-Sprint no Sudeste Asiático.
No entanto, não está claro quantos apps foram visados até o momento.
Além disso, o método poderia ser adotado por outros adversários para burlar proteções no Android.
Um porta-voz respondeu com a seguinte declaração:
"O Google Play Protect pode alertar os usuários ou bloquear apps conhecidos por exibirem comportamento malicioso, mesmo quando esses apps vêm de fontes externas ao Play."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...