Gli esperti di Promon hanno individuato un nuovo pericoloso malware per Android, denominato Snowblind, che sfrutta una tecnica innovativa per infettare i dispositivi ed eseguire varie attività, tra cui il furto dei dati personali. Google ha dichiarato che sul Play Store non sono presenti app contenenti il malware.
Abuso di una funzionalità di sicurezza
La maggioranza dei malware per Android sfrutta i servizi di accessibilità per ottenere privilegi elevati e, in pratica, prendere il controllo del dispositivo. Le app hanno tuttavia implementato meccanismi di protezione che rilevano tale vettore di attacco. In alcuni casi, il malware può modificare (disattivare) il codice che consente di rilevare l’abuso dei servizi di accessibilità, ma molte app integrano meccanismi anti-tampering.
Snowblind riesce ad effettuare il repackaging dell’app e sfrutta la funzionalità seccomp (secure computing) per aggirare i meccanismi anti-tampering. Secure computing, disponibile a partire da Android 8 (Oreo), consente di verificare l’integrità delle app. Riduce la superficie di attacco limitando le chiamate di sistema delle app.
Snowblind usa una libreria che viene caricata prima del codice anti-tampering e installa un filtro per seccomp. Quando Android verifica l’integrità dell’app, Snowblind intercetta la relativa chiamata di sistema. Ciò consente l’esecuzione di app infette che possono rubare dati sensibili, leggere le informazioni sullo schermo e disattivare le funzionalità di sicurezza, tra cui l’autenticazione biometrica.
Un portavoce di Google ha dichiarato che sul Play Store non ci sono app con Snowblind. In ogni caso, Google Play Protect può rilevare il malware anche se nascosto in app scaricate da store alternativi.