Bankový trójsky kôň Snowblind útočí spôsobom, aký ešte nikto nevidel: Väčšina aplikácií je bezbranných
Bezpečnostní experti objavili bankový malvér Snowblind, ktorý útočí doteraz nevideným spôsobom.
Oblasť kybernetickej bezpečnosti sa vyvíja mimoriadne rapídnym tempom. Analytici odhalia jednu hrozbu a hackeri hneď nájdu niekoľko nových spôsobov, ako sa dostať do zariadení obetí. Čo sa týka bankových malvérov, tie vo väčšine prípadov fungujú podobnými spôsobmi, no bezpečnostní analytici z Promon objavili bankového trójskeho koňa, ktorý si vybral doteraz nepozorovanú formu útoku.
Snowblind útočí inak, ako iné podobné vírusy
Bezpečnostní experti pomenovali tento malvér Snowblind a hlbšia analýza ukázala, že jeho forma útoku sa líši od útokov typických bankových trójskych koňov. Malvér Snowblind zneužíva funkciu Linuxového kernelu seccomp, ktorú využívajú Android smartfóny. Seccomp sa používa na izolovanie aplikácií a obmedzeniu ich prístupu k operačnému systému.
Potenciálne škodlivá aplikácia teda nedokáže získať kontrolu nad zariadením tak jednoducho. Malvér Snowblind ale našiel spôsob, ako na funkciu seccomp zaútočiť. Ako sme uviedli hneď na začiatku, bezpečnostní analytici ešte túto formu útoku nevideli a prekvapilo ich, aký môže byť útok týmto spôsobom nebezpečný.
Prečo sú bankové trójske kone nebezpečné?
Určite ti nemusíme vysvetľovať, že akýkoľvek škodlivý softvér, ktorý má potenciál siahnuť na ťažko zarobené peniaze, je jedným z najnebezpečnejších, ktoré v online priestore existujú.
Bankové trójske kone si ale postupom času vyvinuli metódu útoku, kvôli ktorej bežný užívateľ nezistí, že sa stal terčom útoku, až pokým mu z účtu nezmiznú peniaze. Bankové trojany najčastejšie zneužívajú funkciu overlay, funkciu, ktorú môžeš poznať aj ako prekrývanie obrazovky.
Neprehliadni
Ak máš Messenger alebo inú četovaciu aplikáciu, funkciu overlay môžeš vidieť v praxi napríklad ako četové bubliny alebo iný grafický prvok, ktorý sa zobrazuje nad inými aplikáciami. Táto funkcia nie je sama o sebe škodlivá, no práve bankové trójske kone ju zneužívajú spôsobom, ktorý užívateľ častokrát nedokáže postrehnúť.
Hackeri jednoducho dokážu vytvoriť obrazovku, ktorá je identickou kópiou napríklad tvojej bankovej aplikácie. Ak máš v zariadení malvér, ten môže rozpoznať, kedy sa pokúšaš bankovú aplikáciu otvoriť a namiesto reálnej obrazovky ti otvorí okno na celý displej, ktoré bude ponúkať falošné prihlasovacie formuláre. Ty si teda myslíš, že sa prihlasuješ do tvojej bankovej aplikácie, no v skutočnosti poskytuješ údaje priamo hackerovi. Popri tom môže malvér obsahovať aj iné formy špionáže, napríklad zaznamenávanie stlačení kláves (keylogging) alebo možnosť čítať SMS alebo súbory v zariadení.
Bežné bankové trójske kone útočia inak
Vytvorenie overlay obrazovky ale nie je niečo, čo by vedela vytvoriť každá aplikácia. V prípade bankového trójskeho koňa kyberzločinci vytvárajú falošnú aplikáciu, ktorá si po nainštalovaní vyžiada prístup k nastaveniam dostupnosti. Tie Android zaviedol na pomoc ľuďom s postihnutím a preto môžu aplikácie cez nastavenia dostupnosti získať prístup aj ku kriticky dôležitým komponentom zariadenia.
Cez nastavenia dostupnosti dokáže malvér získať prakticky úplnú kontrolu nad tvojim smartfónom a následne vykonať aj overlay útok.
Toto robí Snowblind inak
Keďže bankové trójske kone útočia viac-menej podobnými spôsobmi, mnohé citlivé aplikácie začali implementovať ochranu proti overlay a iným typom útokov. Vďaka zvýšenej ochrane majú hackeri stále väčší problém úspešne sa dostať do systému.
Malvér Snowblind bezpečnostných analytikov prekvapil v tom, že zvolil doteraz nepoužitú metódu útoku. O efektivite použitej metódy svedčí aj prekvapenie bezpečnostných analytikov, ktorí netušili, akým nebezpečným môže útok cez funkciu seccomp byť.
Seccomp je skratka pre secure computing. Ide o funkcionalitu Linux kernelu. Presnejšie ide o systém, ktorý vytvára pravidlá pre prebiehajúce procesy v smartfóne. Aplikácie môžu vytvoriť systémovú požiadavku, ktorú funkcia seccomp skontroluje a vytvorí pre ňu pravidlo a keď raz pravidlo vytvorí, už ho zmeniť nemôže. Ak prebiehajúci proces vytvorí nový, príbuzný, proces. “dieťa” zdedí toto pravidlo po svojom “rodičovi”.
Vyššou úlohou seccomp procesu je ale sandboxing. Aby sa znížili útoky v rámci Android platformy, každá aplikácia sedí na svojom “pieskovisku” alebo v technickej reči “sandboxe”. To zabraňuje aplikácii interagovať s inými aplikáciami v zariadení.
“Ako prvé nás napadá, že hackeri môžu seccomp funkciu zneužiť na zablokovanie aplikácií, aby nemohli robiť určité veci. To môže ohroziť bezpečnosť, hlavne ak zablokujú dôležité systémové požiadavky. Táto forma útoku ale nie je veľmi silná, v porovnaní s tým, čo robí Snowblind,” vysvetľujú bezpečnostní analytici.
Nebezpečná metóda útoku
Malvér Snowblind však dokáže zabrániť odhaleniu aplikácie, ktorá bola prebalená, čo si vyžaduje obísť ochranné mechanizmy, ktoré aplikácia uplatňuje, aby sa s ňou nemohlo manipulovať. Bežne môže systém odhaliť prebalenie aplikácie tak, že skontroluje APK súbor a zistí, či s ním niekto manipuloval. Aplikácia teda musí otvoriť súbory na disku a vedieť prečítať, čo sa v nich nachádza.
Bezpečnostní experti vysvetľujú, že tento malvér útočníkom umožňuje filtrovať, preskúmať a manipulovať akékoľvek systémové požiadavky. Zároveň dokáže vytvoriť mimoriadne úzky filter tak, že sa bude sústrediť na lokáciu, odkiaľ systémová požiadavka prišla.
Tento mechanizmus ale dáva útočníkom viac možností, ako len obísť mechanizmy proti manipulovaniu aplikácie. Dovoľuje im manipulovať a sledovať akýkoľvek kód, ktorý sa spolieha na systémové požiadavky.
Čo však robí z malvéru Sonwblind mimoriadne nebezpečný škodlivý softvér je fakt, že metóda útoku nie je všeobecne dobre známa. Znamená to, že obrovské množstvo aplikácií nie je proti takejto forme útoku chránených.
Komentáre