Il malware Snowblind è una nuova minaccia per la sicurezza di Android che sfrutta una funzione di sicurezza per eludere le protezioni anti-manomissione nelle app che gestiscono dati sensibili degli utenti.
Snowblind malware sfrutta la funzione di sicurezza di Android
Il malware Snowblind è stato identificato da Promon, una società di sicurezza mobile, che ha analizzato un campione ricevuto da i-Sprint, un partner che fornisce protezioni per sistemi di accesso e identità alle aziende. Il malware attacca l’app di un cliente di i-Sprint in Asia sudorientale.
Snowblind utilizza una tecnica innovativa per attaccare le app Android basate sulla funzione di sicurezza Linux ‘seccomp’ (secure computing). Seccomp è un meccanismo di filtro che limita le chiamate di sistema (syscalls) che un’app può eseguire, bloccando quelle che sono state abusate in attacchi precedenti.
Google ha integrato seccomp in Android 8 (Oreo) e lo ha implementato nel processo Zygote, che è il processo padre di tutte le app Android. Snowblind sfrutta seccomp per eludere le protezioni anti-manomissione nelle app che gestiscono dati sensibili.
Come funziona Snowblind
Snowblind inietta una libreria nativa prima del codice anti-manomissione, installando un filtro seccomp che intercetta le chiamate di sistema come ‘open()’, comunemente utilizzate nell’accesso ai file. Quando l’APK della app target viene controllato per la manomissione, il filtro seccomp di Snowblind non consente alla chiamata di continuare, ma invece scatena un segnale SIGSYS che indica che il processo ha inviato un argomento non valido alla chiamata di sistema.
Snowblind installa anche un gestore di segnali per SIGSYS per ispezionare e manipolare i registri del thread, consentendo al malware di modificare l’argomento ‘open()’ per puntare il codice anti-manomissione a una versione non modificata dell’APK.
Attacchi invisibili e conseguenze
Il ricercatore di Promon, Yair Amit, ha dichiarato a BleepingComputer che l’attacco Snowblind è completamente invisibile per l’utente e può portare alla perdita di credenziali di accesso. Promon ritiene che la tecnica utilizzata da Snowblind non sia ben nota e che la maggior parte delle app non proteggano contro di essa.
Proteggi la tua app Android
Per proteggere la tua app Android da attacchi come Snowblind, è importante adottare misure di sicurezza proattive. Ecco alcuni suggerimenti, soluzioni, consigli e best practice:
- Implementa il controllo delle versioni dell’APK: Verifica la versione dell’APK per garantire che non sia stata manomessa.
- Utilizza la crittografia: Utilizza la crittografia per proteggere i dati sensibili degli utenti.
- Implementa il controllo dell’integrità: Implementa il controllo dell’integrità per rilevare eventuali modifiche non autorizzate al codice dell’app.
- Monitora l’attività dell’app: Monitora l’attività dell’app per rilevare eventuali comportamenti sospetti.
- Utilizza la firma digitale: Utilizza la firma digitale per garantire l’integrità del codice dell’app.
- Educare gli utenti: Educare gli utenti a riconoscere e segnalare attività sospette.
Il malware Snowblind sfrutta una funzione di sicurezza di Android per bypassare le protezioni anti-manomissione nelle app che gestiscono dati sensibili degli utenti. Adottando misure di sicurezza proattive e monitorando l’attività dell’app, è possibile proteggere la tua app Android da attacchi come Snowblind.
