In una recente scoperta, i ricercatori della cyber security firm Promon hanno identificato un nuovo tipo di malware, noto come Snowblind, che prende di mira gli utenti Android.
Si tratta di una minaccia particolarmente pericolosa e insidiosa in quanto sfrutta una vulnerabilità nel kernel Linux per eludere le misure di sicurezza integrate nelle app Android.
Indice degli argomenti
Snowblind e l’uso improprio del kernel Linux
Come noto, il kernel è la parte centrale di un sistema operativo che gestisce tutto ciò che accade su un dispositivo, fungendo da collante tra applicazioni e hardware. In particolare, Snowblind sfrutta la funzionalità seccomp (secure computing) del kernel Linux (un filtro di sicurezza nel kernel Linux che limita la capacità di un’app di effettuare chiamate di sistema o richieste dal sistema operativo integrato sui SO Android a partire dalla versione 8), per intercettare e manipolare le chiamate di sistema (syscall), aggirando i controlli di sicurezza e rimanendo inosservato.
“Android utilizza seccomp per applicazioni sandbox e limita le chiamate di sistema che possono effettuare. Questa è intesa come funzionalità di sicurezza che rende più difficile per le app dannose compromettere il dispositivo. Tuttavia, Snowblind utilizza in modo improprio seccomp come vettore di attacco per poter colpire le applicazioni”, spiegano i ricercatori. “Non abbiamo mai visto seccomp utilizzato come vettore di attacco e siamo rimasti sorpresi di quanto possa essere potente e versatile se utilizzato in modo dannoso”.
Possibile scenario d’attacco di Snowblind
In un video, i ricercatori mostrano come un attacco Snowblind sia completamente invisibile all’utente consentendo ai criminali informatici di rubare credenziali di accesso e dirottare sessioni bancarie per transazioni non autorizzate, con conseguenti perdite finanziarie.
Snowblind installa un filtro seccomp per intercettare chiamate di sistema specifiche e utilizza un gestore per il segnale SIGSYS allo scopo di modificare queste chiamate.
Ciò consente di eludere i meccanismi antimanomissione come il rilevamento del repackage e di rimanere nascosto, compromettendo la sicurezza dell’app.
In pratica, il malware prima dell’esecuzione del codice di antimanomissione inserisce una libreria nativa aggiuntiva nel software preso di mira che con un proprio filtro seccomp reindirizza verso una versione non modificata dell’applicazione, mentre la variante modificata è libera di effettuare chiamate di sistema in modo arbitrario.
“Il malware installa, inoltre, un gestore di segnale per SIGSYS; ogni volta che riceve quel segnale, può ispezionare e manipolare i registri del thread”, si legge nel rapporto. “Utilizza questa funzionalità per manipolare l’argomento della chiamata open() in modo che punti a un file che è la versione originale dell’app senza modifiche.
Infine, esegue la chiamata di sistema aperta con l’argomento manipolato e il meccanismo antimanomissione viene bypassato in modo semplice e robusto”.
Come proteggersi
Sebbene la maggior parte delle infezioni siano state segnalate in Asia, il malware potrebbe colpire qualsiasi dispositivo Android in tutto il mondo causando problemi di privacy, perdite finanziarie e furto di identità.
I metodi esatti utilizzati per distribuire Snowblind non sono attualmente noti ma in genere, i software malevoli vengono diffusi tramite phishing e tecniche di ingegneria sociale.
Pertanto, gli esperti consigliano agli utenti di essere cauti nell’installare applicazioni da fonti non ufficiali e di utilizzare antivirus affidabili per mantenere la sicurezza dei propri dispositivi.
È importante sottolineare le potenzialità di questo di tipo di malware legate alla capacità di manipolare qualsiasi codice che si basi sulle chiamate di sistema.
Infatti, le future iterazioni di Snowblind potrebbero assumere nuove caratteristiche, cambiando altresì target e modalità di azione.
