Snowblind: Una Nueva Técnica Maliciosa que Ataca Aplicaciones Android

La seguridad de las aplicaciones móviles ha sido un tema crucial en los últimos años, especialmente con el creciente uso de dispositivos móviles para manejar información sensible. Una nueva técnica maliciosa, denominada Snowblind, ha captado la atención de los expertos en ciberseguridad por su método inusual para eludir la protección de las aplicaciones Android. Descubierta por los expertos de seguridad de aplicaciones móviles de Promon, Snowblind abusa de una característica de seguridad de Linux conocida como “seccomp”.

¿Qué es Seccomp?

Seccomp, o Modo de Computación Segura, es una característica del kernel de Linux que limita las llamadas al sistema disponibles para las aplicaciones. Su principal objetivo es reducir la superficie de ataque potencial, proporcionando una capa adicional de seguridad. Google implementó seccomp en Android 8 (Oreo) para proteger a los usuarios contra actividades maliciosas.

¿Cómo Funciona Snowblind?

El objetivo de Snowblind es volver a empaquetar la aplicación de destino de manera que no pueda detectar el abuso de los servicios de accesibilidad, que son utilizados por el malware para obtener información del usuario, como credenciales, o para realizar acciones maliciosas de control remoto.

Proceso de Explotación:

Implementación de una Biblioteca Propia:
- Snowblind implementa su propia biblioteca que se carga antes que el código antifalsificación de la aplicación de destino.
Instalación del Filtro Seccomp:
- Una vez cargada la biblioteca, Snowblind instala un filtro seccomp que intercepta las llamadas al sistema.
Intercepción de Llamadas al Sistema:
- Cuando se verifica el APK de la aplicación de destino, el filtro seccomp instalado por Snowblind impide que la llamada continúe.
- Genera la señal SIGSYS, que indica un error en la llamada al sistema.
- Snowblind instala un controlador de señales para que SIGSYS verifique y manipule registros de subprocesos.

Manipulación de la Llamada al Sistema “open()”:

El malware modifica los argumentos de la llamada al sistema “open()”, apuntando el código antimanipulación a una versión anterior del APK. Gracias a la especificidad del filtro seccomp, el impacto en el rendimiento es mínimo, lo que hace que sea improbable que el usuario note algo extraño durante el funcionamiento normal de la aplicación.

Impacto y Preocupaciones

La técnica de Snowblind es particularmente preocupante porque puede desactivar varias funciones de seguridad en las aplicaciones, como la autenticación de dos factores o la verificación biométrica. Los expertos de Promon creen que la mayoría de las aplicaciones no están protegidas contra este tipo de ataque.

Caso de Estudio: Ataque a una Aplicación Cliente de i-Sprint

Promon ha observado el uso de Snowblind en un ataque a una aplicación cliente de i-Sprint en el sudeste asiático. Sin embargo, no está claro cuántas aplicaciones han sido atacadas hasta el momento. Existe la posibilidad de que otros atacantes adopten este método para eludir los mecanismos de seguridad integrados de Android.

Medidas de Protección

Good Corporation ha afirmado que, actualmente, no se han encontrado aplicaciones en Google Play que contengan código malicioso que funcione como Snowblind. Además, los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect, que está habilitado de forma predeterminada en los dispositivos Android con servicios de Google.

Recomendaciones para Usuarios:

Instalar Aplicaciones Solo desde Fuentes Confiables:
- Instala siempre aplicaciones móviles únicamente desde la tienda oficial de Google.
- Incluso entre las aplicaciones de Google Play, elige solo productos probados y conocidos con altas calificaciones y una gran cantidad de reseñas.
Mantenerse Informado y Alerta:
- Mantente informado sobre las últimas amenazas y vulnerabilidades en el mundo de la ciberseguridad.
- Desconfía de aplicaciones desconocidas o con pocos comentarios, incluso si están en la tienda oficial.

Snowblind representa una nueva y sofisticada técnica de ataque que aprovecha características de seguridad legítimas para realizar actividades maliciosas. La comunidad de ciberseguridad debe estar atenta a estas innovaciones maliciosas y trabajar en el desarrollo de contramedidas eficaces. Los usuarios, por su parte, deben ser cautelosos y seguir buenas prácticas de seguridad al descargar y utilizar aplicaciones móviles.

? #Ciberseguridad ? #AplicacionesSeguras ?️ #ProtecciónAndroid ? #AmenazasCibernéticas ?‍? #ExpertosEnSeguridad ? #DetecciónDeMalware ? #SeguridadMóvil ? #TecnologíaSegura ? #ProtecciónDeDatos ? #InnovaciónEnSeguridad

Now Reading: Snowblind: Una Nueva Técnica Maliciosa que Ataca Aplicaciones Android

Snowblind: Una Nueva Técnica Maliciosa que Ataca Aplicaciones Android

Snowblind: Una Nueva Técnica Maliciosa que Ataca Aplicaciones Android

Share

¿Qué es Seccomp?

¿Cómo Funciona Snowblind?

Proceso de Explotación:

Manipulación de la Llamada al Sistema “open()”:

Impacto y Preocupaciones

Caso de Estudio: Ataque a una Aplicación Cliente de i-Sprint

Medidas de Protección

Recomendaciones para Usuarios:

Share

Related Posts

Argentina en oferta: tu vida en carpetas y un sistema que te conoce mejor que el Estado

Proxychains - Proxies para Anonimato y Pivoting en Redes

Respuesta ante incidentes

Stay Informed With the Latest & Most Important News

Previous Post

Next Post

Previous Post

Herramientas Esenciales para la Seguridad en la Nube: AWS, Azure y Google Storage

Next Post

Tres Herramientas Osint

Temporada 3 - Episodio 4

Temporada 3 - Episodio 3

Temporada 3 - Episodio 2

Temporada 3 - Episodio 1

Advertisement