Önde gelen mobil uygulama güvenliği sağlayıcısı Promon, Snowblind adında yeni bir Android kötü amaçlı yazılım keşfetti. 26 Haziran Çarşamba günü Hackread.com ile yayınlanmadan önce paylaşılan raporlarında Promon, bu kötü amaçlı yazılımın, bir uygulamanın kötü niyetli değişiklikleri tespit etme yeteneğini devre dışı bırakarak, kullanıcıları kötü amaçlı değişikliklere maruz bırakarak en güçlü kurcalama önleme mekanizmalarını bile atlama konusunda benzersiz bir yetenek sergilediğini ortaya çıkardı. Mali kayıp ve dolandırıcılık gibi riskler.
Kötü niyetli hedeflerine, Android cihazlardaki Erişilebilirlik Hizmetlerini ve ‘seccomp’ özelliğini manipüle ederek ulaşıyor. Bilginiz olsun diye söylüyorum, ‘seccomp’ (güvenli bilgi işlem), Linux çekirdeğinde bulunan ve bir uygulamanın sistem çağrıları yapma veya işletim sisteminden istek yapma yeteneğini kısıtlayan bir güvenlik filtresidir. Erişilebilirlik Hizmetleri, engelli kullanıcıların uygulama arayüzleriyle etkileşime girmesine ve bunları değiştirmesine, ekran içeriğini okumasına, metin girişi vb. gerçekleştirmesine olanak tanır.
Snowblind, hedeflenen uygulamadaki kurcalama önleme mekanizmalarını atlayarak yeniden paketlenen uygulamaların tespit edilmesini önlemeyi amaçlamaktadır. Erişilebilirlik hizmetlerinin tespit edilmesini önlemek için uygulamaları değiştirir ve sistem çağrılarını engellemek ve değiştirmek için seccomp işlevini kullanarak güvenlik kontrollerini atlamasına ve tespit edilmeden kalmasına olanak tanır. Ayrıca belirli sistem çağrılarını yakalamak için bir seccomp filtresi kurar ve algılamayı önlemek amacıyla bu çağrıları kesmek ve değiştirmek için bir sinyal işleyici kullanır.
Bu filtre aracılığıyla Snowblind, sistem çağrılarının kaynağını kontrol ederek, yalnızca çağrının kurcalamayı önleyen bir kitaplıktan gelmesi durumunda bir sinyal oluşturmasını sağlar. Bu, saldırının hızını artırır ve saldırganların herhangi bir sistem çağrısını filtrelemesine, incelemesine ve değiştirmesine olanak tanır.
Promon’un blog gönderisine göre kötü amaçlı yazılım, sistem çağrılarını uygulayıp onları bulmayı ve yamalamayı zorlaştırsa bile, sistem çağrılarına bağlı herhangi bir kodu manipüle edebilir ve izleyebilir, bu da onu kurcalama önleme mekanizmalarını atlatmak için güçlü bir araç haline getirir.
Snowblind, manipülasyon yetenekleri sayesinde, oturum açma kimlik bilgilerini çalmak, kullanıcı oturumlarını ele geçirmek ve 2FA veya biyometrik doğrulama gibi güvenlik özelliklerini devre dışı bırakmak için bankacılık uygulamaları da dahil olmak üzere birden fazla uygulamayı veya sistem işlevini hedefleyebilir.
Ayrıca, Snowblind hassas bilgileri ve işlem verilerini de sızdırarak kurbanları dolandırıcılığa maruz bırakır. Tüm modern Android cihazlarda etkilidir ve daha geniş bir saldırı olasılığı yelpazesi sunar.
Snowblind ve benzeri tehditlere karşı korunmak için Android kullanıcıları, güvenilir kaynaklardan ve Google Play gibi resmi uygulama mağazalarından uygulamalar indirmeli, cihazlarını düzenli olarak güncellemeli, bir mobil güvenlik çözümü kullanmayı düşünmeli ve olağan dışı uygulama davranışlarına karşı dikkatli olmalıdır. Bir uygulama aşırı kaynak tüketmeye veya beklenmeyen izin istekleri göstermeye başlarsa uygulamayı kaldırın ve geliştiriciye veya uygulama mağazasına bildirin.
İLGİLİ KONULAR
- SpyNote Android Casus Yazılımı Yasal Kripto Cüzdanı Gibi Görünüyor
- Rafel RAT’ın Yaygın Kullanımı 3,9 Milyar Android Cihazı Tehlikeye Atıyor
- Arid Viper’ın AridSpy Truva Atı Filistin, Mısır’daki Android Kullanıcılarını Etkiliyor
- Panzehir Android Kötü Amaçlı Yazılımı, Fon Çalmak İçin Google Güncellemesi Gibi Görünüyor
- Android Kötü Amaçlı Yazılım, Veri Çalmak İçin WhatsApp ve Instagram Gibi Görünüyor