Según una investigación de Promon, se está utilizando una nueva variedad de malware para atacar a clientes bancarios en el sudeste asiático, lo que provoca pérdidas financieras y fraude. El malware recién descubierto, denominado Snowblind, utiliza una técnica poderosa y «nunca antes vista» para desactivar la capacidad de las aplicaciones bancarias de Android para determinar si han sido modificadas maliciosamente, evitando así la detección. Snowblind está diseñado para explotar los servicios de accesibilidad en aplicaciones, que son características del sistema operativo Android diseñadas para ayudar a los usuarios con discapacidades a utilizar sus dispositivos de manera más efectiva. Estos servicios tienen amplios permisos para interactuar y modificar las interfaces de las aplicaciones, lo que les permite leer el contenido de la pantalla, ingresar texto y realizar acciones en nombre del usuario. Snowblind está explotando estos servicios para acceder a información confidencial, navegar por el dispositivo o controlar aplicaciones y eludir las medidas de seguridad automatizando interacciones que normalmente requerirían la intervención del usuario, según Promon. Este enfoque permite a los actores de amenazas realizar una serie de actividades maliciosas. Estos incluyen: Robar las credenciales de inicio de sesión de los usuarios. Secuestrar la sesión bancaria de un usuario para realizar transacciones no autorizadas. Desactivar las funciones de seguridad de la aplicación, como la autenticación de dos factores (2FA) o la verificación biométrica. Exfiltrar información de identificación personal (PII) confidencial y datos de transacciones. El malware es efectivo en todos los dispositivos Android modernos y se ha observado que se dirige específicamente a aplicaciones bancarias. Cómo el malware Snowblind evita la detección Snowblind evita la detección modificando la aplicación para evitar que detecte la existencia de servicios de accesibilidad. Para hacerlo, explota la función ‘seccomp’ del kernel de Linux, que controla lo que una aplicación puede hacer al limitar las llamadas al sistema o las solicitudes que una aplicación puede realizar desde el sistema operativo. El malware puede eludir el código antimanipulación en seccomp instalando su propio filtro seccomp en el proceso en el que se carga. Luego puede indicarle al kernel que detenga las llamadas al sistema, lo que provoca que se genere una señal SIGSYS. Snowblind además instala un controlador de señales para SIGSYS, lo que le permite interceptar y modificar estas llamadas para evitar la detección. El malware también evita que se generen demasiadas señales y ralentice notablemente la aplicación; lo hace haciendo que el filtro verifique de dónde proviene la llamada al sistema. El filtro solo indicará al kernel que genere la señal si la llamada proviene de la biblioteca que implementa el mecanismo antimanipulación. Promon afirmó que este ataque es particularmente poderoso, ya que va más allá de eludir los mecanismos antimanipulación en una aplicación para manipular y rastrear cualquier código que dependa de llamadas al sistema, incluso si implementa las llamadas al sistema. Esto impide que dichos mecanismos puedan escanear la integridad del código y detectar cualquier archivo manipulado. Una nueva cepa de malware Los investigadores observaron que Snowblind es más sofisticado que otras técnicas bien conocidas utilizadas para evitar el código antimanipulación, que los desarrolladores pueden mitigar en gran medida mediante el uso de ofuscación y una fuerte verificación de la integridad de su código en la memoria. El enfoque utilizado en Snowblind no se ha descrito públicamente en ninguna herramienta pública. Si bien los investigadores han observado que algunos repositorios en GitHub implementan “algo en esta dirección” y algunas publicaciones de blogs chinos que describen métodos similares, ninguno parece ser tan refinado como los métodos que utiliza Snowblind. Señalaron que todas estas fuentes parecen estar en chino. Promon ha instado a las aplicaciones a protegerse contra esta técnica antes de que los actores de amenazas la utilicen más ampliamente.