Un nouveau vecteur d’attaque Android à partir d’un logiciel malveillant suivi sous le nom de Snowblind abuse d’une fonctionnalité de sécurité pour contourner les protections anti-altération existantes dans les applications qui gèrent des données utilisateur sensibles.

L’objectif de Snowblind est de reconditionner une application cible pour la rendre incapable de détecter les abus des services d’accessibilité qui lui permettent d’obtenir des entrées utilisateur telles que des informations d’identification, ou d’obtenir un accès à distance pour exécuter des actions malveillantes.

Contrairement à d’autres logiciels malveillants Android, cependant, Snowblind abuse de « seccomp », abréviation de secure computing, une fonctionnalité du noyau Linux qu’Android utilise pour vérifier l’intégrité des applications, afin de protéger les utilisateurs contre des actions malveillantes telles que le reconditionnement des applications.

Abus de la fonctionnalité de sécurité seccomp
La société de sécurité d’applications mobiles Promon a pu analyser comment Snowblind atteint son objectif sans être détecté après avoir reçu un échantillon d’i-Sprint, un partenaire fournissant des protections de système d’accès et d’identité aux entreprises.

« Ce malware a attaqué l’application de l’un des clients d’Asie du Sud-Est d’i-Sprint. Notre analyse de Snowblind a révélé qu’il utilise une nouvelle technique pour attaquer les applications Android basées sur la fonctionnalité du noyau Linux seccomp  » – Promon

Seccomp est une fonctionnalité de sécurité du noyau Linux conçue pour réduire la surface d’attaque des applications en limitant les appels système (appels système) qu’elles peuvent effectuer. Il agit comme un filtre pour les appels système qu’une application est autorisée à exécuter, bloquant ceux qui ont été abusés lors d’attaques.

Google a d’abord intégré seccomp dans Android 8 (Oreo), en l’implémentant dans le processus Zygote, qui est le processus parent de toutes les applications Android.

Snowblind cible les applications qui gèrent des données sensibles en injectant une bibliothèque native qui se charge avant le code anti-altération, et installe un filtre seccomp pour intercepter les appels système tels que « open() syscall », couramment utilisé dans l’accès aux fichiers.

Lorsque l’APK de l’application cible est vérifié pour altération, le filtre seccomp de Snowblind ne permet pas à l’appel de se poursuivre et déclenche à la place un signal SIGSYS indiquant que le processus a envoyé un mauvais argument à l’appel système.

Snowblind installe également un gestionnaire de signaux pour que SIGSYS l’inspecte et manipule les registres du thread, expliquent les chercheurs dans un rapport partagé avec Breachtrace .

De cette façon, le logiciel malveillant peut modifier les arguments d’appel système ‘open’)’ pour pointer le code anti-altération vers une version non modifiée de l’APK.

En raison de la nature ciblée du filtre seccomp, l’impact sur les performances et l’empreinte opérationnelle sont minimes, il est donc peu probable que l’utilisateur remarque quoi que ce soit pendant les opérations normales de l’application.

Aperçu opérationnel de Snowblind

Scénarios d’attaque
Promo dit que la technique observée dans les attaques de cécité des neiges « ne semble pas être bien connue » et les chercheurs pensent que la plupart des applications ne la protègent pas.

Dans une vidéo démontrant le fonctionnement de l’attaque, les chercheurs montrent qu’une attaque Snowblind est complètement invisible pour l’utilisateur et peut entraîner une fuite des informations de connexion.

Les chercheurs ont déclaré à Breachtrace que Snowblind peut être utilisé pour désactiver diverses fonctionnalités de sécurité dans les applications, telles que l’authentification à deux facteurs ou la vérification biométrique.

Un attaquant pourrait utiliser la technique « pour lire des informations sensibles affichées à l’écran, naviguer sur l’appareil ou contrôler les applications, contourner les mesures de sécurité en automatisant les interactions qui nécessiteraient généralement une intervention de l’utilisateur, ainsi qu’exfiltrer des informations personnelles sensibles et des données de transaction. »

Promo indique que Snowblind a été observé ciblant une application d’un client i-Sprint en Asie du Sud-Est. Cependant, on ne sait pas combien d’applications ont été ciblées jusqu’à présent. De plus, la méthode pourrait être adoptée par d’autres adversaires pour contourner les protections dans Android.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *