Mobilo lietotņu drošības nodrošinātājs Promon ir atklājis vēl neredzētu Android banku ļaunprogrammatūru. Nosaukts par Snowblind, tas izmanto jaunu tehniku, lai izmantotu Android OS funkcijas un apdraudētu banku lietotnes. Uzņēmums saka, ka ļaunprātīga programmatūra ir efektīva visās Android ierīcēs, tostarp labākajās ar visstingrākajiem drošības pasākumiem. Lai atceltu iespējamos finansiālos zaudējumus, ir nepieciešami lietotņu līmeņa drošības uzlabojumi.
Snowblind ir pirmā šāda veida Android banku ļaunprātīga programmatūra
Snowblind, šķiet, ir viena no vismodernākajām Android banku ļaunprogrammatūrām ar jaunām pretatklāšanas metodēm. Saskaņā ar Promon teikto, ļaunprātīgā programmatūra manipulē ar Linux kodola drošības līdzekli, kas iebūvēts operētājsistēmā Android OS, ko sauc par “seccomp” (drošu skaitļošanu). Funkcija “kontrolē, ko lietotnei ir atļauts darīt, ierobežojot sistēmas zvanus vai pieprasījumus, ko lietojumprogramma var veikt no operētājsistēmas”.
Tāpat kā lielākā daļa citu ļaunprātīgu programmatūru, Snowblind paļaujas uz pieejamības pakalpojumu izmantošanu, lai iegūtu sistēmas līmeņa piekļuvi inficētajai ierīcei un veiktu ļaunprātīgas darbības bez lietotāja ziņas. Tomēr, tā kā Android ir ieviesti drošības pasākumi, lai atklātu ļaunprātīgus pieejamības pakalpojumus, tā pārveido lietotnes, lai novērstu atklāšanu. Tas “veic parastu pārsaiņošanas uzbrukumu” ar mazāk zināmu tehniku, kuras pamatā ir seccomp.
Promon saka, ka Snowblind tehnika ļaunprātīgi izmanto seccomp funkcionalitāti, “lai pārtvertu un manipulētu sistēmas zvanus”, kas ļauj tai apiet drošības pārbaudes un pretizjaukšanas mehānismus. Tas ļauj uzbrucējiem slepeni veikt ļaunprātīgas darbības ierīcē. Viņi var izmantot citas ļaunprātīgas programmatūras funkcijas, lai nozagtu bankas lietotnes pieteikšanās akreditācijas datus un veiktu nesankcionētus darījumus.
Lai atvieglotu viņu darbu, Snowblind var atspējot drošības līdzekļus, piemēram, divu faktoru autentifikāciju (2FA) un biometrisko verifikāciju. Tas var arī izfiltrēt sensitīvu personu identificējošu informāciju un darījumu datus no lietotnes. Šos datus vēlāk var izmantot krāpnieciskām darbībām, tostarp uzdošanai par citu personu. Tā kā Snowblind uzbrūk pašai lietotnei, tā ir efektīva visās mūsdienu Android ierīcēs.
Snowblind tehnika ir jauna, tāpēc lielākā daļa lietotņu ir neaizsargātas
Drošības firma atklāja, ka Snowblind Android ļaunprogrammatūra pašlaik ir paredzēta banku Android lietotnēm Dienvidaustrumāzijā. Tomēr uzņēmums uzskatīja, ka tā uz seccomp balstītā tehnika ir “interesantāka par pašu ļaunprātīgu programmatūru”, tāpēc draudu dalībnieki drīzumā var izstrādāt vairāk veidu ekspluatācijas un uzbrukumus. Lai situāciju pasliktinātu, tas ir jauns paņēmiens, un lielākajai daļai mūsdienu lietotņu trūkst aizsardzības pret to.
Promon saka, ka ir izstrādājis aizsardzības pasākumus pret Snowblind un citiem iespējamiem seccomp balstītu uzbrukumu variantiem un ļaunprātīgas programmatūras celmiem. Tās Promon SHIELD platformas versija 6.5.2 vai jaunāka piedāvā šo aizsardzību. Izstrādātāji var izmantot šo risinājumu, lai nodrošinātu savu lietotņu drošību. Galalietotājiem šāda veida jaudīga banku ļaunprātīga programmatūra ir atgādinājums, ka nevajadzētu instalēt lietotnes no nezināmiem avotiem. Nekad nelejupielādējiet failus no ēnainām vietnēm vai no pārsūtītajām saitēm. Lai lejupielādētu lietotnes, vienmēr apmeklējiet izstrādātāja oficiālo vietni vai oficiālu lietotņu veikalu.
