Les chercheurs en sécurité de Promon tirent la sonnette d’alarme. Depuis plusieurs mois, le malware Android baptisé Snowblind exploite une nouvelle technique “pour attaquer les applications Android”Le virus, décrit comme un cheval de Troie bancaire, cherche à exfiltrer les données personnelles des utilisateurs, y compris les identifiants.
Pour parvenir à ses fins, le malware abuseun mécanisme de sécurité intégré au noyau Linux d’Androidbaptisé « seccomp » (Informatique sécurisée). Présente depuis Android 8 Oreo, cette protection a pour but de restreindre les appels système que peut effectuer une application, ce qui limite la possibilité d’interagir avec le système d’exploitation. En fin de compte, le protocole réduit la surface d’attaque potentielle.
A lire aussi : Les hackers ont trouvé l’astuce pour contourner l’authentification à deux facteurs
Contourner les protections des applications Android
Le virus exploitera ce mécanisme pour contourner les protections contre la falsification d’Android. Ces protections sont en place pour empêcher les modifications non autorisées des applications installées. En tirant parti de Secure Computing, Snowblind peut modifier une application et exploiter les services d’accessibilité d’Android pour voler les données personnelles des utilisateurs. Ces paramètres, censés aider les personnes malvoyantes à utiliser leur smartphone, sont régulièrement détournés par des malwares. C’est également le mode opératoire de la dernière variante du malware Medusa.
Concrètement, Snowblind va injecter du code dans l’application ciblée avant les mécanismes de sécurité contre les changements sont activés. Puis le malware configure un filtre « seccomp » qui lui permettra de manipuler ou surveiller l’accès aux dossiers de candidature. Les pirates réalisent réellement “une attaque de reconditionnement sur l’application qu’ils ciblent, où la partie du code de l’application qui détecte les services d’accessibilité malveillants est manipulée de manière à ne jamais rien détecter”. Cette attaque, très courante, est cependant améliorée par “une technique moins connue basée sur le seccomp”. La combinaison de processus permet aux cybercriminels d’atteindre leurs objectifs.
Cette stratégie permet également à Snowblind d’opérer discrètement. L’exploitation du Secure Computing limite en effet l’impact sur les performances. L’attaque est totalement imperceptible pour la victime. Selon les chercheurs, le malware atteint finalement « lire les informations sensibles affichées à l’écran, naviguer sur l’appareil, contrôler les applications, contourner les mesures de sécurité en automatisant les interactions qui nécessiteraient généralement l’intervention de l’utilisateur »et à « exfiltrer des informations personnelles sensibles ».
Une attaque peu connue
Selon les chercheurs de Promon, cette tactique est encore largement méconnu. De facto, les développeurs d’applications n’ont pas encore mis en place de protections contre ce type de cyberattaque. Dans son rapport, la société de sécurité indique qu’elle n’a pas “Je n’ai jamais vu seccomp être utilisé comme vecteur d’attaque auparavant et nous avons été surpris de voir à quel point il peut être puissant et polyvalent s’il est utilisé de manière malveillante”.
« Les attaquants disposent désormais d’un nouvel outil puissant pour attaquer efficacement une application »prévient Promon.
Les experts ont remarqué que Snowblind était impliqué dans l’attaque contre une application appartenant à un développeur asiatique. Il n’est pas clair si le malware est actuellement utilisé pour mener d’autres cyberattaques contre des applications Android. Contacté par Bleeping Computer, Google assure qu’aucune application infectée par Snowblind n’a été trouvée sur le Play Store.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Promontoire
