Snowblind is een nieuwe Android-banking-malware die misbruik maakt van een veiligheidstool

Beveiligingsprovider voor mobiele apps Promon heeft een nog nooit eerder vertoonde malware voor Android-bankieren ontdekt. Het heet Snowblind en maakt gebruik van een nieuwe techniek om Android OS-functionaliteiten te exploiteren en bankapps in gevaar te brengen. Het bedrijf zegt dat de malware effectief is op alle Android-apparaten, inclusief de beste met de sterkste beveiligingsmaatregelen. Het vereist beveiligingsverbeteringen op app-niveau om potentiële financiële verliezen teniet te doen.

Snowblind is een unieke malware voor Android-bankieren

Snowblind lijkt een van de meest geavanceerde malware voor Android-bankieren te zijn met nieuwe antidetectietechnieken. Volgens Promon manipuleert de malware een Linux-kernelveiligheidsfunctie die is ingebouwd in het Android-besturingssysteem, genaamd ‘seccomp’ (secure computing). De functie “bepaalt wat een app mag doen door de systeemaanroepen of verzoeken te beperken die een applicatie vanuit het besturingssysteem kan doen.”

Net als de meeste andere malware vertrouwt Snowblind op het exploiteren van toegankelijkheidsservices om toegang op systeemniveau tot een geïnfecteerd apparaat te krijgen en kwaadaardige activiteiten uit te voeren zonder medeweten van de gebruiker. Omdat Android echter beveiligingsmaatregelen heeft getroffen om kwaadaardige toegankelijkheidsservices te detecteren, worden apps aangepast om detectie te voorkomen. Het “voert een normale herverpakkingsaanval uit” met een minder bekende techniek gebaseerd op seccomp.

Promon zegt dat de techniek van Snowblind misbruik maakt van de seccomp-functionaliteit “om systeemoproepen te onderscheppen en te manipuleren”, waardoor het beveiligingscontroles en anti-manipulatiemechanismen kan omzeilen. Hierdoor kunnen aanvallers heimelijk kwaadaardige activiteiten op het apparaat uitvoeren. Ze kunnen andere functies van de malware gebruiken om inloggegevens voor een bankapp te stelen en ongeautoriseerde transacties uit te voeren.

Om hun werk eenvoudiger te maken, kan Snowblind beveiligingsfuncties zoals tweefactorauthenticatie (2FA) en biometrische verificatie uitschakelen. Het kan ook gevoelige persoonlijk identificeerbare informatie en transactiegegevens uit de app exfiltreren. Deze gegevens kunnen later worden misbruikt voor frauduleuze activiteiten, waaronder nabootsing van identiteit. Omdat Snowblind de app zelf aanvalt, is deze effectief op alle moderne Android-apparaten.

Sneeuwblinde malware voor Android-bankieren

De techniek van Snowblind is nieuw, waardoor de meeste apps kwetsbaar zijn

Het beveiligingsbedrijf ontdekte dat de Snowblind Android-malware momenteel is ontworpen om zich specifiek te richten op Android-apps voor bankieren in Zuidoost-Azië. Het bedrijf vond zijn op seccomp gebaseerde techniek echter ‘interessanter dan de malware zelf’, zozeer zelfs dat bedreigingsactoren binnenkort meer soorten exploits en aanvallen zouden kunnen bedenken. Om de zaak nog erger te maken: het is een nieuwe techniek en de meeste moderne apps hebben er geen bescherming tegen.

Promon zegt dat het beschermende maatregelen heeft ontwikkeld tegen Snowblind en andere mogelijke varianten van op seccomp gebaseerde aanvallen en malwaresoorten. Versie 6.5.2 of nieuwer van het Promon SHIELD-platform biedt deze bescherming. Ontwikkelaars kunnen de oplossing gebruiken om hun apps veilig te houden. Voor eindgebruikers herinneren dit soort krachtige bankmalware ons eraan dat we geen apps van onbekende bronnen mogen installeren. Download nooit bestanden van dubieuze websites of via doorgestuurde links. Bezoek altijd de officiële website van een ontwikkelaar of een officiële app store om apps te downloaden.

Thijs Van der Does