Dati personali, biometrici, bancari e tanto altro sono gli obiettivi di questo ultimo malware che sta imperversando su Android: Snowblind. Capace di eludere le protezioni anti-manomissione esistenti nelle app Android, questo malware è in grado anche di ottenere l’accesso remoto per eseguire ulteriori azioni dannose contro l’utente.
Snowblind, come funziona il nuovo malware per Android
Come riporta Bleeping Computer, l’obiettivo principale di Snowblind è di rendere le applicazioni adibite alla sicurezza incapaci di rilevare non solo la sua attività, ma anche i suoi tentativi di accesso alle app che contengono i dati personali e bancari della vittima.
A differenza di altri malware Android, Snowblind sfrutta una particolare funzione, ‘seccomp‘, che Android utilizza per eseguire ulteriori controlli sulle applicazioni e proteggere gli utenti dai malware stessi.
Per quanto possa sembrare paradossale il fatto che un malware utilizzi una funzione di sicurezza a suo vantaggio, in realtà è proprio grazie a questo stratagemma che Snowblind sta avendo (purtroppo) un grande successo a livello di hacking.
Come agisce Snowblind
Tra le prime a descrivere completamente la modalità di attacco di questo malware è la società di cybersecurity Promon.
All’inizio Snowblind prende di mira le app che gestiscono dati sensibili iniettando una libreria nativa che si carica prima del codice anti-manomissione. In essa Snowblind installa questo seccomp, in modo da intercettare immediatamente gli ‘open() syscall’, ovvero le chiamate di sistema che possono bloccare tutto in caso di attacchi.
Proprio il filtro seccomp di Snowblind non solo impedisce agli open() syscall di procedere ai controlli, ma attiva un segnale SIGSYS per modificarli e indirizzare il codice anti-manomissione a una versione non modificata dell’APK. In questo modo il sistema non segnala manomissioni, e l’utente difficilmente noterà qualcosa di irregolare.
Si tratta di una tecnica pressoché inedita nel panorama cyber. Sempre Promon afferma che teoricamente un attacco di Snowblind sarebbe completamente invisibile per l’utente.
Dati personali e non solo: ecco cosa ruba
Riporta Bleeping Computer, Snowblind può essere utilizzato per disabilitare varie funzionalità di sicurezza nelle app, come l’autenticazione a due fattori o la verifica biometrica. Addirittura un hacker potrebbe utilizzare Snowblind per:
- leggere informazioni sensibili visualizzate sullo schermo;
- navigare sul dispositivo o controllare le app;
- bypassare le misure di sicurezza senza l’intervento dell’utente;
- filtrare informazioni personali identificabili e dati di transazione sensibili (appunto i dati bancari).
Al momento, riferisce Google a Bleeping Computer, non risultano app contenenti questo malware su Google Play. In alternativa, Google Play Protect avviserà comunque gli utenti e provvederà a bloccare le app che risultano già note al sistema per i loro precedenti comportamenti dannosi, anche quando provengono da fonti esterne a Play.
