Νέο τραπεζικό κακόβουλο λογισμικό στοχεύει πελάτες στη Νοτιοανατολική Ασία
Σύμφωνα με έρευνα της Promon, ένα νέο στέλεχος κακόβουλου λογισμικού χρησιμοποιείται για τη στόχευση τραπεζικών πελατών στη Νοτιοανατολική Ασία, οδηγώντας σε οικονομικές απώλειες και απάτες.
Το πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό, με την ονομασία Snowblind, χρησιμοποιεί μια ισχυρή και “πρωτόγνωρη” τεχνική για να απενεργοποιήσει την ικανότητα των τραπεζικών εφαρμογών Android να προσδιορίζουν αν έχουν τροποποιηθεί κακόβουλα, αποφεύγοντας έτσι τον εντοπισμό.
Το Snowblind έχει σχεδιαστεί για να εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας στις εφαρμογές, οι οποίες είναι χαρακτηριστικά του λειτουργικού συστήματος Android που έχουν σχεδιαστεί για να βοηθούν τους χρήστες με αναπηρίες να χρησιμοποιούν τις συσκευές τους πιο αποτελεσματικά.
Οι υπηρεσίες αυτές διαθέτουν εκτεταμένα δικαιώματα αλληλεπίδρασης και τροποποίησης των διεπαφών των εφαρμογών, επιτρέποντάς τους να διαβάζουν το περιεχόμενο της οθόνης, να εισάγουν κείμενο και να εκτελούν ενέργειες για λογαριασμό του χρήστη.
Σύμφωνα με την Promon, το Snowblind εκμεταλλεύεται αυτές τις υπηρεσίες για να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες, να πλοηγηθεί στη συσκευή ή να ελέγξει εφαρμογές και να παρακάμψει τα μέτρα ασφαλείας αυτοματοποιώντας αλληλεπιδράσεις που τυπικά θα απαιτούσαν την παρέμβαση του χρήστη.
Αυτή η προσέγγιση επιτρέπει στους φορείς απειλών να εκτελούν διάφορες κακόβουλες δραστηριότητες. Αυτές περιλαμβάνουν:
- Κλοπή των διαπιστευτηρίων σύνδεσης των χρηστών
- Κατάληψη της τραπεζικής συνεδρίας ενός χρήστη για τη διενέργεια μη εξουσιοδοτημένων συναλλαγών
- Απενεργοποίηση των χαρακτηριστικών ασφαλείας της εφαρμογής, όπως ο έλεγχος ταυτότητας δύο παραγόντων (2FA) ή η βιομετρική επαλήθευση
- Απορρόφηση ευαίσθητων προσωπικών πληροφοριών (PII) και δεδομένων συναλλαγών
Το κακόβουλο λογισμικό είναι αποτελεσματικό σε όλες τις σύγχρονες συσκευές Android και έχει παρατηρηθεί ότι στοχεύει ειδικά τραπεζικές εφαρμογές.
Πώς το κακόβουλο λογισμικό Snowblind αποφεύγει την ανίχνευση
Το Snowblind αποφεύγει την ανίχνευση τροποποιώντας την εφαρμογή ώστε να μην μπορεί να ανιχνεύσει την ύπαρξη υπηρεσιών προσβασιμότητας.
Για να το κάνει αυτό, εκμεταλλεύεται τη λειτουργία “seccomp” του πυρήνα Linux, η οποία ελέγχει τι επιτρέπεται να κάνει μια εφαρμογή περιορίζοντας τις κλήσεις συστήματος ή τις αιτήσεις που μπορεί να κάνει μια εφαρμογή από το λειτουργικό σύστημα.
Το κακόβουλο λογισμικό είναι σε θέση να παρακάμψει τον κώδικα κατά της αλλοίωσης του seccomp εγκαθιστώντας το δικό του φίλτρο seccomp στη διαδικασία στην οποία φορτώνεται.
Στη συνέχεια, μπορεί να δώσει εντολή στον πυρήνα να σταματήσει τις κλήσεις συστήματος, προκαλώντας τη δημιουργία ενός σήματος SIGSYS.
Το Snowblind εγκαθιστά επιπλέον έναν χειριστή σήματος για το SIGSYS, επιτρέποντάς του να υποκλέψει και να τροποποιήσει αυτές τις κλήσεις για να αποτρέψει την ανίχνευση.
Το κακόβουλο λογισμικό αποτρέπει επίσης τη δημιουργία πάρα πολλών σημάτων και την αισθητή επιβράδυνση της εφαρμογής, το κάνει αυτό έχοντας το φίλτρο να ελέγχει από πού προήλθε η κλήση της κλήσης συστήματος.
Το φίλτρο θα δώσει εντολή στον πυρήνα να δημιουργήσει το σήμα μόνο αν η κλήση προήλθε από τη βιβλιοθήκη που υλοποιεί τον μηχανισμό κατά της παραποίησης.
Η Promon δήλωσε ότι αυτή η επίθεση είναι ιδιαίτερα ισχυρή, καθώς υπερβαίνει την παράκαμψη των μηχανισμών κατά της παραποίησης σε μια εφαρμογή, ώστε να χειραγωγεί και να εντοπίζει οποιονδήποτε κώδικα που βασίζεται σε κλήσεις συστήματος, ακόμη και αν υλοποιεί τις κλήσεις συστήματος. Αυτό εμποδίζει τη δυνατότητα αυτών των μηχανισμών να ανιχνεύσουν την ακεραιότητα του κώδικα και να εντοπίσουν τυχόν πειραγμένα αρχεία.
Ένα νέο στέλεχος κακόβουλου λογισμικού
Οι ερευνητές σημείωσαν ότι το Snowblind είναι πιο εξελιγμένο από άλλες γνωστές τεχνικές που χρησιμοποιούνται για την παράκαμψη του κώδικα κατά της παραποίησης, τις οποίες οι προγραμματιστές μπορούν σε μεγάλο βαθμό να μετριάσουν με τη χρήση συσκοτισμού και ισχυρού ελέγχου ακεραιότητας του κώδικά τους στη μνήμη.
Η προσέγγιση που χρησιμοποιείται στο Snowblind δεν έχει περιγραφεί δημοσίως σε χρήση σε κανένα δημόσιο εργαλείο. Ενώ οι ερευνητές έχουν παρατηρήσει μερικά αποθετήρια στο GitHub που υλοποιούν “κάτι προς αυτή την κατεύθυνση” και κάποιες αναρτήσεις σε κινεζικά blogs που περιγράφουν παρόμοιες μεθόδους, καμία δεν φαίνεται να είναι τόσο εκλεπτυσμένη όσο οι μέθοδοι που χρησιμοποιεί το Snowblind.
Σημείωσαν ότι όλες αυτές οι πηγές φαίνεται να είναι στα κινεζικά.
Η Promon προέτρεψε τις εφαρμογές να προστατεύονται από αυτή την τεχνική πριν χρησιμοποιηθεί ευρύτερα από τους φορείς απειλών.
