Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 14
DIGITALTV 197
ilka aggelia
28 Ιουνίου 2024 06:50

Νέο τραπεζικό κακόβουλο λογισμικό στοχεύει πελάτες στη Νοτιοανατολική Ασία

malware 0ba8efe4

Σύμφωνα με έρευνα της Promon, ένα νέο στέλεχος κακόβουλου λογισμικού χρησιμοποιείται για τη στόχευση τραπεζικών πελατών στη Νοτιοανατολική Ασία, οδηγώντας σε οικονομικές απώλειες και απάτες.

Το πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό, με την ονομασία Snowblind, χρησιμοποιεί μια ισχυρή και “πρωτόγνωρη” τεχνική για να απενεργοποιήσει την ικανότητα των τραπεζικών εφαρμογών Android να προσδιορίζουν αν έχουν τροποποιηθεί κακόβουλα, αποφεύγοντας έτσι τον εντοπισμό.

Το Snowblind έχει σχεδιαστεί για να εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας στις εφαρμογές, οι οποίες είναι χαρακτηριστικά του λειτουργικού συστήματος Android που έχουν σχεδιαστεί για να βοηθούν τους χρήστες με αναπηρίες να χρησιμοποιούν τις συσκευές τους πιο αποτελεσματικά.

Οι υπηρεσίες αυτές διαθέτουν εκτεταμένα δικαιώματα αλληλεπίδρασης και τροποποίησης των διεπαφών των εφαρμογών, επιτρέποντάς τους να διαβάζουν το περιεχόμενο της οθόνης, να εισάγουν κείμενο και να εκτελούν ενέργειες για λογαριασμό του χρήστη.

Σύμφωνα με την Promon, το Snowblind εκμεταλλεύεται αυτές τις υπηρεσίες για να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες, να πλοηγηθεί στη συσκευή ή να ελέγξει εφαρμογές και να παρακάμψει τα μέτρα ασφαλείας αυτοματοποιώντας αλληλεπιδράσεις που τυπικά θα απαιτούσαν την παρέμβαση του χρήστη.

Αυτή η προσέγγιση επιτρέπει στους φορείς απειλών να εκτελούν διάφορες κακόβουλες δραστηριότητες. Αυτές περιλαμβάνουν:

  • Κλοπή των διαπιστευτηρίων σύνδεσης των χρηστών
  • Κατάληψη της τραπεζικής συνεδρίας ενός χρήστη για τη διενέργεια μη εξουσιοδοτημένων συναλλαγών
  • Απενεργοποίηση των χαρακτηριστικών ασφαλείας της εφαρμογής, όπως ο έλεγχος ταυτότητας δύο παραγόντων (2FA) ή η βιομετρική επαλήθευση
  • Απορρόφηση ευαίσθητων προσωπικών πληροφοριών (PII) και δεδομένων συναλλαγών

Το κακόβουλο λογισμικό είναι αποτελεσματικό σε όλες τις σύγχρονες συσκευές Android και έχει παρατηρηθεί ότι στοχεύει ειδικά τραπεζικές εφαρμογές.

Πώς το κακόβουλο λογισμικό Snowblind αποφεύγει την ανίχνευση

Το Snowblind αποφεύγει την ανίχνευση τροποποιώντας την εφαρμογή ώστε να μην μπορεί να ανιχνεύσει την ύπαρξη υπηρεσιών προσβασιμότητας.

Για να το κάνει αυτό, εκμεταλλεύεται τη λειτουργία “seccomp” του πυρήνα Linux, η οποία ελέγχει τι επιτρέπεται να κάνει μια εφαρμογή περιορίζοντας τις κλήσεις συστήματος ή τις αιτήσεις που μπορεί να κάνει μια εφαρμογή από το λειτουργικό σύστημα.

Το κακόβουλο λογισμικό είναι σε θέση να παρακάμψει τον κώδικα κατά της αλλοίωσης του seccomp εγκαθιστώντας το δικό του φίλτρο seccomp στη διαδικασία στην οποία φορτώνεται.

Στη συνέχεια, μπορεί να δώσει εντολή στον πυρήνα να σταματήσει τις κλήσεις συστήματος, προκαλώντας τη δημιουργία ενός σήματος SIGSYS.

Το Snowblind εγκαθιστά επιπλέον έναν χειριστή σήματος για το SIGSYS, επιτρέποντάς του να υποκλέψει και να τροποποιήσει αυτές τις κλήσεις για να αποτρέψει την ανίχνευση.

Το κακόβουλο λογισμικό αποτρέπει επίσης τη δημιουργία πάρα πολλών σημάτων και την αισθητή επιβράδυνση της εφαρμογής, το κάνει αυτό έχοντας το φίλτρο να ελέγχει από πού προήλθε η κλήση της κλήσης συστήματος.

Το φίλτρο θα δώσει εντολή στον πυρήνα να δημιουργήσει το σήμα μόνο αν η κλήση προήλθε από τη βιβλιοθήκη που υλοποιεί τον μηχανισμό κατά της παραποίησης.

Η Promon δήλωσε ότι αυτή η επίθεση είναι ιδιαίτερα ισχυρή, καθώς υπερβαίνει την παράκαμψη των μηχανισμών κατά της παραποίησης σε μια εφαρμογή, ώστε να χειραγωγεί και να εντοπίζει οποιονδήποτε κώδικα που βασίζεται σε κλήσεις συστήματος, ακόμη και αν υλοποιεί τις κλήσεις συστήματος. Αυτό εμποδίζει τη δυνατότητα αυτών των μηχανισμών να ανιχνεύσουν την ακεραιότητα του κώδικα και να εντοπίσουν τυχόν πειραγμένα αρχεία.

Ένα νέο στέλεχος κακόβουλου λογισμικού

Οι ερευνητές σημείωσαν ότι το Snowblind είναι πιο εξελιγμένο από άλλες γνωστές τεχνικές που χρησιμοποιούνται για την παράκαμψη του κώδικα κατά της παραποίησης, τις οποίες οι προγραμματιστές μπορούν σε μεγάλο βαθμό να μετριάσουν με τη χρήση συσκοτισμού και ισχυρού ελέγχου ακεραιότητας του κώδικά τους στη μνήμη.

Η προσέγγιση που χρησιμοποιείται στο Snowblind δεν έχει περιγραφεί δημοσίως σε χρήση σε κανένα δημόσιο εργαλείο. Ενώ οι ερευνητές έχουν παρατηρήσει μερικά αποθετήρια στο GitHub που υλοποιούν “κάτι προς αυτή την κατεύθυνση” και κάποιες αναρτήσεις σε κινεζικά blogs που περιγράφουν παρόμοιες μεθόδους, καμία δεν φαίνεται να είναι τόσο εκλεπτυσμένη όσο οι μέθοδοι που χρησιμοποιεί το Snowblind.

Σημείωσαν ότι όλες αυτές οι πηγές φαίνεται να είναι στα κινεζικά.

Η Promon προέτρεψε τις εφαρμογές να προστατεύονται από αυτή την τεχνική πριν χρησιμοποιηθεί ευρύτερα από τους φορείς απειλών.

Πηγή: https://www.infosecurity-magazine.com/

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Φεβρουάριος 2025
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Φεβρουαρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμ...
Security TOP 50
Η προστασία εταιρειών, επιχειρήσεων και φυσικά, της ανθρώπινης ζωής είναι κρίσιμης σημασίας γι’ αυτό και οι εταιρείες που ασχολούνται με την ανάπτυξη, παραγωγή και προσφορά φυσικών, τεχνολογικών κ...
Εμπιστευτείτε την TexDesigns ως τον κατάλληλο συνεργάτη σας
Με τις τεχνολογικές εξελίξεις στον τομέα της ασφάλειας συνεχώς να αλλάζουν, η επιλογή μιας έμπειρης και τεχνολογικά καταρτισμένης εταιρείας παροχής συστημάτων ασφαλείας, είναι ζωτικής σημασίας για...
Πάνω από 62.000 κάμερες ασφαλείας τοποθετήθηκαν στην Μπανγκόκ το 2022-2023
Σύμφωνα με τα τελευταία ευρήματα της 6Wresearch, η κυβέρνηση της Ταϊλάνδης σχεδιάζει να εγκαταστήσει ακόμα περισσότερες κάμερες παρακολούθησης βίντεο προκειμένου να μειώσει το ποσοστό εγκληματικότ...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, τεύχος 15
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος 15 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σ...
Optex Redscan LiDAR Series
Το Redscan είναι το βραβευμένο σύστημα ασφαλείας της εταιρείας Optex, βασισμένο στην τεχνολογία LiDAR (Light Detection and Ranging), το οποίο προσδιορίζει με ακρίβεια το μέγεθος και την απόσταση τ...
Security TOP 50
Η προστασία εταιρειών, επιχειρήσεων και φυσικά, της ανθρώπινης ζωής είναι κρίσιμης σημασίας γι’ αυτό και οι εταιρείες που ασχολούνται με την ανάπτυξη, παραγωγή και προσφορά φυσικών, τεχνολογικών κ...
Ajax Special Event 2024
Η Ajax Systems στις 21 Νοεμβρίου πραγματοποίησε ένα παγκόσμιο online event όπου επαγγελματίες εγκαταστάτες, εταιρείες και πολλοί άλλοι είχαν τη δυνατότητα να ενημερωθούν για νέες λύσεις και νέα πρ...
Ταξινόμηση σημάτων συναγερμού
Τα τελευταία χρόνια γίνεται μια συντονισμένη προσπάθεια στο κλάδο της ασφάλειας, ώστε να αλλάξει ο τρόπος με τον οποίο λαμβάνονται, ανταλλάσσονται και αναμεταδίδονται οι πληροφορίες συναγερμού στα...