Snowblind, по мнению экспертов, является одним из самых продвинутых банковских вредоносных программ для Android, обладающим новыми методами антидетекции. Согласно данным компании Promon, вредоносное ПО манипулирует функцией безопасности ядра Linux, встроенной в операционную систему Android, под названием "seccomp" (secure computing). Эта функция "контролирует, что приложению разрешено делать, ограничивая системные вызовы или запросы, которые приложение может делать из операционной системы".
Новые методы обхода безопасности
Как и большинство других вредоносных программ, Snowblind использует уязвимости сервисов доступности для получения системного доступа к зараженному устройству и выполнения вредоносных действий без ведома пользователя. Однако, поскольку Android имеет меры безопасности для обнаружения вредоносных сервисов доступности, Snowblind модифицирует приложения для предотвращения обнаружения. Он "выполняет обычную атаку репакетирования" с использованием менее известной техники на основе seccomp.
Promon утверждает, что техника Snowblind злоупотребляет функциональностью seccomp "для перехвата и манипуляции системными вызовами", что позволяет обходить проверки безопасности и механизмы защиты от вмешательства. Это позволяет злоумышленникам незаметно выполнять вредоносные действия на устройстве. Они могут использовать другие функции вредоносного ПО для кражи учетных данных для банковского приложения и совершения несанкционированных транзакций.
Для облегчения своей работы Snowblind может отключать функции безопасности, такие как двухфакторная аутентификация (2FA) и биометрическая проверка. Он также может извлекать конфиденциальную личную информацию и данные о транзакциях из приложения. Эти данные могут быть использованы позже для мошеннических действий, включая подмену личности. Поскольку Snowblind атакует само приложение, он эффективен на всех современных устройствах Android.
Уязвимость современных приложений
Техника Snowblind нова, поэтому большинство приложений уязвимы. Компания Promon обнаружила, что вредоносное ПО Snowblind в настоящее время разработано специально для атаки на банковские приложения Android в Юго-Восточной Азии. Однако фирма считает технику на основе seccomp "более интересной, чем само вредоносное ПО", настолько, что злоумышленники могут вскоре разработать больше типов эксплойтов и атак. Что еще хуже, это новая техника, и большинство современных приложений не имеют защиты от нее.
Promon утверждает, что разработала защитные меры против Snowblind и других потенциальных вариантов атак и вредоносных программ на основе seccomp. Версия 6.5.2 или новее платформы Promon SHIELD предлагает эти защиты. Разработчики могут использовать это решение для обеспечения безопасности своих приложений. Для конечных пользователей такие мощные банковские вредоносные программы напоминают о том, что не следует устанавливать приложения из неизвестных источников. Никогда не загружайте файлы с сомнительных сайтов или через пересылаемые ссылки. Всегда посещайте официальный сайт разработчика или официальный магазин приложений для загрузки приложений.