Snowblind: хакеры злоупотребляют «слепым пятном» в защитной системе Android

RutoR

Support81

Original poster
Administrator
Сообщения
1 075
Реакции
207
Посетить сайт
Изощрённая техника позволяет пересобирать целевые приложения прямо на устройстве.
snow.jpg


Новая вредоносная техника под названием Snowblind атакует приложения на

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, используя необычный метод обхода защиты. Эксперты по безопасности мобильных приложений из компании Promon

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

что Snowblind злоупотребляет функцией безопасности Linux под названием «seccomp».

Seccomp (Secure Computing Mode) — это функция ядра Linux, которая ограничивает системные вызовы, доступные приложениям, тем самым уменьшая поверхность потенциальной атаки. Google внедрил seccomp в Android 8 (Oreo) для защиты пользователей от вредоносных действий.

Цель Snowblind — переупаковать целевое приложение, чтобы оно не могло обнаруживать злоупотребление службами специальных возможностей, которые позволяют вредоносному ПО получать вводимые пользователем данные, такие как учётные данные, или получать доступ к удаленному управлению для выполнения других вредоносных действий.

В первую очередь вредонос нацеливается на приложения, обрабатывающие конфиденциальные данные. Для этого Snowblind внедряет собственную библиотеку, которая загружается до кода защиты от подделки, и устанавливает фильтр seccomp для перехвата системных вызовов.

Когда проверяется

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

целевого приложения, фильтр seccomp, установленный Snowblind, не позволяет вызову продолжиться. Вместо этого он вызывает сигнал SIGSYS, указывающий на ошибку в системном вызове. Snowblind также устанавливает обработчик сигналов для SIGSYS, чтобы проверять и манипулировать регистрами потока.

Таким образом, вредоносная программа может изменять аргументы системного вызова «open()», указывая коду защиты от подделки на прежнюю версию APK. Из-за целенаправленного характера фильтра seccomp влияние на производительность минимально, поэтому пользователь вряд ли заметит что-либо во время нормальной работы приложения.

Для более наглядного понимания сути атаки рекомендуем ознакомиться с видеозаписью, прикреплённой исследователями к своему отчёту:


Эксперты Promon считают, что большинство приложений не защищены от этой техники. Snowblind может использоваться для отключения различных функций безопасности в приложениях, таких как двухфакторная аутентификация или биометрическая проверка.

По данным Promon, использование техники Snowblind уже было замечено при атаке на приложение клиента компании i-Sprint в Юго-Восточной Азии. Однако неясно, сколько приложений было атаковано на данный момент. Существует вероятность, что этот метод могут перенять и другие злоумышленники для обхода встроенных механизмов защиты Android.

«Корпорация добра» заявляет, что в настоящее время в

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

не обнаружено приложений, содержащих вредоносный код, работающий по принципу Snowblind. Более того, пользователи Android автоматически защищены от известных версий этого вредоносного ПО с помощью Google Play Protect, который по умолчанию включён на устройствах Android с сервисами Google. Тем не менее, всегда существует риск, что злоумышленники обойдут и эту меру защиты.

Старайтесь всегда устанавливать мобильные приложения только из официального магазина Google. И даже среди них стоит выбирать лишь проверенные и известные продукты с высокими оценками и большим количеством отзывов. Только так получится избежать подобных киберугроз, сохранив свои данные и денежные средства в безопасности.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 $787 тысяч исчезли за секунды: как хакеры обошли защиту Orange Finance Новости в сети 0
Support81 Аналитики IBM: хакеры записывают домашние видео через взломанные маршрутизаторы Новости в сети 0
Support81 The Mask: хакеры превратили Google в оружие против мировой дипломатии Новости в сети 0
Support81 Хакеры сорвали джекпот: $500 000 навсегда покинули стейкинг Vestrans Новости в сети 0
Support81 $16 миллионов похищено через LinkedIn: как хакеры обманули Rain Новости в сети 0
Support81 Zero-Day атака в Windows: хакеры могут украсть пароль при простом просмотре файла Новости в сети 0
Support81 Rockstar 2FA: как хакеры обходят многофакторную защиту в два клика Новости в сети 0
Support81 SOS в Wirral: хакеры парализовали работу трёх жизненно важных больниц Новости в сети 0
Support81 10 дней на выкуп: хакеры выдвинули ультиматум мексиканскому правительству Новости в сети 0
Support81 Хакеры требуют $15 000 000: как 1win борется за сохранность данных 100 млн клиентов? Новости в сети 0
Support81 Загадочный трафик и ложные блокировки: зачем хакеры атакуют узлы Tor? Новости в сети 0
Support81 Защита рухнула: хакеры выявили лазейки в процессорах AMD и Intel Новости в сети 0
Support81 Хакеры усиливают натиск на высшие учебные заведения Новости в сети 0
Support81 Взломавшие Casio хакеры наконец вышли из тени Новости в сети 0
Support81 Star Health против Telegram: Хакеры, боты и миллионы украденных историй болезней Новости в сети 0
Support81 MoneyGram: хакеры заморозили сбережения 150 млн человек Новости в сети 0
Support81 Вирус по клику: хакеры взламывают Windows через CAPTCHA Новости в сети 0
Support81 Android.Vo1d: хакеры проникают в дома через ТВ-приставки Новости в сети 0
Support81 Tropic Trooper: хакеры теперь сеют хаос на Ближнем Востоке Новости в сети 0
Support81 Неожиданный враг: Северокорейские хакеры проникают в Кремль Новости в сети 0
Support81 Шантаж и обвинения: белые хакеры борются с Kraken за $3 млн Новости в сети 0
Support81 Cyclops: Иранские хакеры готовят почву для масштабных кибератак Новости в сети 0
Support81 Tusk: русскоязычные хакеры охотятся за криптовалютой по всему миру Новости в сети 0
Support81 «Airbnb-хоппинг»: как разоблаченные хакеры уходят от погони Новости в сети 0
Support81 Роскошное авто или троян? Хакеры из APT28 играют на ваших желаниях Новости в сети 0
Support81 Неудаляемый скиммер: хакеры обнаружили ахиллесову пяту Magento Новости в сети 0
Support81 Кара за Сирию: хакеры парализуют критическую инфраструктуру Турции Новости в сети 0
Support81 CloudSorcerer: хакеры шпионят за российскими чиновниками через Microsoft Graph, Yandex Cloud и Dropbox Новости в сети 0
Support81 Shedding Zmiy - не просто хакеры: 2 года профессиональной охоты на российские секреты Новости в сети 0
Support81 Китайские хакеры прячутся в «слепой зоне»: ORB как новый уровень маскировки Новости в сети 0
Support81 Хакеры взломали ИИ: LLMjacking позволяет продавать доступ к мозгам машин Новости в сети 0
Support81 Хакеры вымогают полмиллиарда у крупнейшего землевладельца России Новости в сети 1
Support81 Ботнет в каждом доме: хакеры снова порабощают роутеры TP-Link для DDoS-атак Новости в сети 0
Support81 Румынские хакеры-невидимки уже 10 лет терроризируют европейские компании Новости в сети 0
Support81 Саратовский кинодел, ФСБ и хакеры: чем закончилась громкая история о торговле американскими картами Новости в сети 1
Support81 Фантомные хакеры с украинским следом: PhantomCore атакует Россию Новости в сети 1
Support81 Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам Новости в сети 0
Support81 Хакеры переосмыслили PikaBot: вирус становится проще, но опаснее Новости в сети 0
Support81 Китайские хакеры атакуют НАТО: взломана сеть армии Нидерландов Новости в сети 0
Support81 Никакого фишинга: итальянские хакеры заражают местные организации весьма старомодным способом Новости в сети 0
Support81 Conti и Royal получили мощного союзника: хакеры 3AM вступают в игру, но кто они на самом деле? Новости в сети 0
Support81 Как хакеры взломали мир: 14 самых громких взломов 2023 года Новости в сети 1
Support81 NKAbuse: хакеры адаптировали децентрализованный протокол NKN для создания стелс-ботнета Новости в сети 0
Support81 Азиатские хакеры ведут ожесточенные кибератаки на российские системы Новости в сети 0
Support81 Хакеры превращают онлайн-казино в арену для украденных миллионов Новости в сети 0
Support81 Хакеры Kinsing активно эксплуатируют Looney Tunables для кражи учётных данных Новости в сети 0
Support81 Хакеры злоупотребляют Binance Smart Chain для хранения вредоносного кода Новости в сети 0
Support81 UNC4841 — настоящие спецагенты или просто хакеры высокого класса? Новости в сети 0
Support81 Хакеры используют сертификат VPN-провайдера для подписания малвари Новости в сети 0
Support81 Юные британские хакеры взломали десятки организаций по всему миру, как им это удалось? Новости в сети 0

Название темы

Русскоязычный Даркнет Форум