I ricercatori della cyber security firm Promon sono riusciti a identificare un nuovo tipo di malware, congegnato nel preciso intento di colpire gli utenti Android. Indicato come Snowblind, è considerato alla stregua di una minaccia estremamente insidiosa. A renderla tale il fatto di riuscire a sfruttare una vulnerabilità nel kernel Linux, in maniera tale da eludere le misure di sicurezza solitamente integrate nelle app per Android.

Snowblind, come funziona

Come già sottolineato in avvio, Snowblind è in grado di sfruttare una vulnerabilità del kernel Linux, ovvero di quella parte centrale la quale, all'interno di un sistema operativo, è delegata alla gestione di qualsiasi cosa accada su un dispositivo. In tal modo, riesce a fungere da vero e proprio collante tra le applicazioni e l'hardware. Nel caso del kernel Linux, Snowblind fa leva sulla funzionalità seccomp (secure computing), ovvero un filtro di sicurezza che a partire dalla versione 8 è in grado di limitare la capacità da parte di un'applicazione di effettuare chiamate di sistema o richieste dal sistema operativo integrato sui sistemi operativi Android. In tal modo, è in grado non solo di intercettare e manipolare le chiamate di sistema, ma anche di aggirare i controlli di sicurezza e restare praticamente inosservato. Sono gli stessi ricercatori che hanno scoperto Snowblind, ad affermare, al riguardo: “Android utilizza seccomp per applicazioni sandbox e limita le chiamate di sistema che possono effettuare. Questa è intesa come una funzionalità di sicurezza che rende più difficile per le app dannose compromettere il dispositivo. Tuttavia, Snowblind utilizza in modo improprio seccomp come vettore di attacco per poter colpire le applicazioni.” Aggiungendo che sinora tale funzionalità non era mai stata utilizzata in qualità di vettore di attacco. Una veste in cui seccomp riesce a conseguire elevati livelli di potenza e versatilità.

La modalità d'attacco di Snowblind

Gli stessi ricercatori hanno poi prodotto un video, all'interno del quale viene mostrato il modo in cui Snowblind riesce ad sottrarre credenziali di accesso e dirottare sessioni bancarie in modo da condurre transazioni senza autorizzazione. Raid in cui i criminali informatici riescono a restare costantemente nell'ombra, provocando perdite finanziarie ai sistemi colpiti. In questa fase, Snowblind provvede all'installazione di un filtro seccomp teso all'intercettazione di chiamate di sistema specifiche, utilizzando un gestore per il segnale SIGSYS cui è invece affidato il compito di modificarle. In tal modo è possibile bypassare i meccanismi antimanomissione, a partire dal rilevamento del repackage e restare nascosti, mettendo a repentaglio la sicurezza dell’app.

Per riuscirci, il malware anticipa l’esecuzione del codice di antimanomissione inserendo una libreria nativa aggiuntiva nel software attaccato la quale, con un proprio filtro seccomp provvede al reindirizzamente verso una versione non modificata dell’applicazione, mentre la variante modificata per questa via è in grado di effettuare chiamate di sistema in maniera assolutamente arbitraria.

Come è possibile difendersi da Snowblind?

Sino a questo momento, gli attacchi condotti con Snowblind hanno riguardato soprattutto l'Asia. Gli esperti di sicurezza informatica si attendono però un'estensione delle aree geografiche colpite, nell'immediato futuro, proprio in considerazione della larghissima diffusione del sistema operativo Android in ogni parte del mondo. I metodi utilizzati per diffonderlo non sono ancora stati individuati. Solitamente, comunque, questo genere di raid sono condotti mediante tecniche di ingegneria sociale e phishing. Proprio per questo motivo, il suggerimento degli esperti è di usare grande cautela nell'installazione di app, cercando di

evitare per quanto possibile quelle provenienti da fonti non ufficiali o verificate. Oltre naturalmente all'utilizzazione di antivirus affidabili, in maniera tale da riuscire a mantenere elevati gli standard di sicurezza dei device detenuti.

Tweet