Snowblind: новый Android-троян использует системные уязвимости для масштабных атак

Был обнаружен новый троян для Android, получивший название «Snowblind». Этот вирус использует функцию ядра Linux, известную как seccomp, которая традиционно применяется для повышения безопасности. Однако в данном случае seccomp используется для перехвата системных вызовов и обхода механизмов защиты приложений, даже тех, что обладают сложными системами обфускации и проверок целостности.

«Snowblind» отличается от традиционных вредоносных программ для Android, которые часто эксплуатируют службы доступности для кражи пользовательских данных или управления приложениями. Новый метод репакетирования позволяет обойти обнаружение вредоносных служб доступности.

В отличие от других вредоносных программ, таких как FjordPhantom, использующих виртуализацию, «Snowblind» внедряет в приложения собственную библиотеку, устанавливающую фильтр seccomp до активации кода анти-тамперинга (противодействия вмешательству). Это позволяет фильтру перенаправлять системные вызовы таким образом, что приложение не может обнаружить попытки вмешательства, и малициозные службы доступности остаются незаметными.

Функциональность seccomp в ядре Linux позволяет процессам пользователя устанавливать политики для системных вызовов и действует как механизм песочницы для снижения риска атак. Введенный в двух режимах, строгий режим разрешает лишь ограниченное количество системных вызовов, тогда как seccomp-bpf предлагает более детальный контроль через фильтры Berkeley Packet.

Система seccomp-bpf, широко внедренная в Android начиная с версии 8 (Oreo), где Google использовала seccomp в Zygote для ограничения системных вызовов приложений, добавляя тесты в CTS (Compatibility Test Suite) для обеспечения более широкого принятия. Это указывает на то, что seccomp-bpf, вероятно, доступен на большинстве устройств, работающих под управлением Android 8 и более поздних версий.