Malware móvil Snowblind

Un novedoso malware para Android rastreado como Snowblind explota una característica de seguridad para eludir las protecciones antimanipulación actuales en aplicaciones que administran datos confidenciales de los usuarios. Snowblind tiene como objetivo reempaquetar las aplicaciones de destino para que no puedan detectar el uso indebido de los servicios de accesibilidad. Esto permite que el malware capture entradas del usuario, como credenciales, u obtenga control remoto para realizar actividades maliciosas.

Lo que diferencia a Snowblind de otros programas maliciosos para Android es su explotación de 'seccomp' (informática segura), una característica del kernel de Linux utilizada por Android para comprobar la integridad de las aplicaciones. Esta característica está destinada a proteger a los usuarios contra acciones inseguras como el reempaquetado de aplicaciones.

Explotación de funciones de seguridad para comprometer dispositivos

El análisis de Snowblind revela su método innovador para atacar aplicaciones de Android mediante la explotación de la función 'seccomp' del kernel de Linux. Seccomp es un mecanismo de seguridad que limita las llamadas al sistema (syscalls) que pueden realizar las aplicaciones, reduciendo así su superficie de ataque. Inicialmente integrado por Google en Android 8 (Oreo), seccomp se implementó dentro del proceso Zygote, el proceso principal de todas las aplicaciones de Android.

Snowblind se dirige específicamente a aplicaciones que manejan datos confidenciales mediante la inyección de una biblioteca nativa que se carga antes de los mecanismos antimanipulación. Instala un filtro seccomp para interceptar llamadas al sistema como 'open()', comúnmente utilizado para acceder a archivos. Durante las comprobaciones de manipulación del APK de la aplicación de destino, el filtro seccomp de Snowblind evita llamadas al sistema no autorizadas y activa una señal SIGSYS, lo que indica un argumento de llamada al sistema no válido.

Para evitar la detección, Snowblind instala un controlador de señales para SIGSYS. Este controlador inspecciona y modifica los registros del hilo, lo que permite que el malware manipule los argumentos de la llamada al sistema 'open()'. Los investigadores explican que esta manipulación redirige el código antimanipulación para ver una versión inalterada del APK.

Debido a su enfoque específico, el filtro seccomp impone un impacto mínimo en el rendimiento y en la huella operativa, lo que hace que sea poco probable que los usuarios detecten anomalías durante el uso normal de la aplicación.

Snowblind permite a los atacantes realizar diversas acciones dañinas

El método empleado en los ataques Snowblind parece ser relativamente desconocido y los investigadores indican que la mayoría de las aplicaciones no están equipadas para defenderse de él. Este tipo de ataque opera de manera discreta y presenta un riesgo significativo de comprometer las credenciales de inicio de sesión. Además, el malware tiene la capacidad de desactivar funciones de seguridad críticas de las aplicaciones, como la autenticación de dos factores y la verificación biométrica.

Los atacantes pueden aprovechar esta técnica para acceder a información confidencial en pantalla, navegar por dispositivos, manipular aplicaciones y eludir protocolos de seguridad automatizando acciones que normalmente requieren la interacción del usuario. Además, pueden extraer información de identificación personal y datos transaccionales.

El alcance del impacto de la campaña de ataque Snowblind en las aplicaciones aún no está claro. Además, existe la preocupación de que otros actores de amenazas puedan adoptar este método para evadir las protecciones de Android en el futuro.