Android-вредонос Snowblind использует защитную функцию ядра Linux

Android-вредонос Snowblind использует защитную функцию ядра Linux

Android-вредонос Snowblind использует защитную функцию ядра Linux

Новый вектор атаки на Android-устройства, в котором фигурирует вредоносное приложение Snowblind, использует защитную функциональность операционной системы для обхода установленных ограничений и кражи конфиденциальных данных.

Задача Snowblind в этой схеме — перепаковать атакуемое приложение, чтобы последнее не смогло детектировать использование специальных возможностей Android (accessibility services).

В результате вредонос может перехватывать пользовательский ввод, в котором могут содержаться учётные данные. Помимо этого, операторам открывается удалённый доступ к устройству, чтобы они могли запускать вредоносные команды.

Что отличает Snowblind от других вредоносов: вредоносная программа использует функцию ядра Linux «seccomp», которая применяется для проверки подлинности софта.

У исследователей из компании Promon была возможность изучить образец Snowblind. В отчёте специалисты подчёркивают, что операторы зловреда используют новую технику, помогающую уйти от детектирования на целевом устройстве.

Как уже отмечалось выше, в этом им помогает функция «seccomp», которую представили в Android 8 (Oreo). Она работает в процессе Zygote, который по умолчанию является родительским для всех других в ОС.

Чтобы перехватить конфиденциальную информацию, Snowblind внедряет нативную библиотеку, задача которой — запуститься до защитного кода. Далее идёт установка фильтра seccomp, перехватывающего системные вызовы вроде «open() syscall».

 

Специалисты считают, что на сегодняшний день большинство приложений не смогут защищаться от Snowblind, поскольку вредонос использует необычные методы. В опубликованном видео эксперты показали, насколько незаметно для пользователя может отработать Snowblind:

Домен t.me вернули в DNS, но Telegram оживет не у всех сразу

Короткий домен Telegram t.me снова вернулся в строй. Реестр доменной зоны .me восстановил его DNS-записи, а статус serverHold, из-за которого адрес фактически исчез из интернета, был снят. Это значит, что ссылки формата t.me снова должны открываться в браузерах.

Правда, не мгновенно у всех: DNS-записи кешируются у провайдеров и разных служб, поэтому полное восстановление может занять до 24 часов.

Ранее домен внезапно исключили из DNS на уровне реестра .me. В WHOIS у него появился статус serverHold, который устанавливает не регистратор, а оператор доменной зоны. В результате короткие ссылки Telegram перестали работать по всему миру, хотя сам мессенджер продолжал функционировать штатно.

На случай затяжного сбоя Telegram уже начал подменять ссылки t.me на telegram.me внутри своих приложений. Старые адреса при этом продолжали открываться непосредственно в мессенджере, но браузеры отправляли пользователей в цифровую пустоту.

Причины отключения домена до сих пор официально не названы. Неизвестно, был ли это технический сбой, юридический вопрос или ручное решение оператора реестра.

Теперь t.me формально вернулся. Осталось дождаться, пока об этом узнают DNS-серверы по всему миру.

RSS: Новости на портале Anti-Malware.ru