Logiciel malveillant mobile Snowblind

Un nouveau malware Android suivi sous le nom de Snowblind exploite une fonctionnalité de sécurité pour contourner les protections anti-falsification actuelles dans les applications qui gèrent les données utilisateur sensibles. Snowblind vise à reconditionner les applications cibles afin qu'elles ne puissent pas détecter l'utilisation abusive des services d'accessibilité. Cela permet au logiciel malveillant de capturer les entrées de l'utilisateur telles que les informations d'identification ou d'obtenir le contrôle à distance pour effectuer des activités malveillantes.

Ce qui distingue Snowblind des autres logiciels malveillants Android est son exploitation de « seccomp » (informatique sécurisée), une fonctionnalité du noyau Linux utilisée par Android pour vérifier l'intégrité des applications. Cette fonctionnalité est destinée à protéger les utilisateurs contre les actions dangereuses telles que le reconditionnement d'applications.

Exploiter les fonctionnalités de sécurité pour compromettre les appareils

L'analyse de Snowblind révèle sa méthode innovante d'attaque des applications Android grâce à l'exploitation de la fonctionnalité « seccomp » du noyau Linux. Seccomp est un mécanisme de sécurité qui limite les appels système (appels système) que les applications peuvent effectuer, réduisant ainsi leur surface d'attaque. Initialement intégré par Google dans Android 8 (Oreo), seccomp a été implémenté au sein du processus Zygote, le processus parent de toutes les applications Android.

Snowblind cible spécifiquement les applications gérant des données sensibles en injectant une bibliothèque native qui se charge avant les mécanismes anti-falsification. Il installe un filtre seccomp pour intercepter les appels système comme « open() », couramment utilisés pour l'accès aux fichiers. Lors des contrôles de falsification de l'APK de l'application cible, le filtre seccomp de Snowblind empêche les appels système non autorisés et déclenche un signal SIGSYS, indiquant un argument d'appel système non valide.

Pour contourner la détection, Snowblind installe un gestionnaire de signal pour SIGSYS. Ce gestionnaire inspecte et modifie les registres du thread, permettant au malware de manipuler les arguments de l'appel système 'open()'. Les chercheurs expliquent que cette manipulation redirige le code anti-falsification pour afficher une version inchangée de l'APK.

En raison de son approche ciblée, le filtre seccomp impose un impact minimal sur les performances et l'empreinte opérationnelle, ce qui rend peu probable la détection d'anomalies par les utilisateurs lors de l'utilisation régulière de l'application.

Snowblind permet aux attaquants d'effectuer diverses actions nuisibles

La méthode utilisée dans les attaques Snowblind semble relativement inconnue et les chercheurs indiquent que la plupart des applications ne sont pas équipées pour s'en défendre. Ce type d'attaque opère discrètement, posant un risque important de compromettre les informations de connexion. De plus, le malware a la capacité de désactiver les fonctionnalités critiques de sécurité des applications telles que l’authentification à deux facteurs et la vérification biométrique.

Les attaquants peuvent exploiter cette technique pour accéder à des informations sensibles à l'écran, naviguer sur des appareils, manipuler des applications et contourner les protocoles de sécurité en automatisant des actions qui nécessitent généralement une interaction de l'utilisateur. De plus, ils peuvent extraire des informations personnellement identifiables et des données transactionnelles.

L'ampleur de l'impact de la campagne d'attaque Snowblind sur les applications reste incertaine. En outre, on craint que d’autres acteurs malveillants n’adoptent cette méthode pour échapper aux protections d’Android à l’avenir.