Android-вредонос Snowblind использует защитную функцию ядра Linux

Android-вредонос Snowblind использует защитную функцию ядра Linux

Android-вредонос Snowblind использует защитную функцию ядра Linux

Новый вектор атаки на Android-устройства, в котором фигурирует вредоносное приложение Snowblind, использует защитную функциональность операционной системы для обхода установленных ограничений и кражи конфиденциальных данных.

Задача Snowblind в этой схеме — перепаковать атакуемое приложение, чтобы последнее не смогло детектировать использование специальных возможностей Android (accessibility services).

В результате вредонос может перехватывать пользовательский ввод, в котором могут содержаться учётные данные. Помимо этого, операторам открывается удалённый доступ к устройству, чтобы они могли запускать вредоносные команды.

Что отличает Snowblind от других вредоносов: вредоносная программа использует функцию ядра Linux «seccomp», которая применяется для проверки подлинности софта.

У исследователей из компании Promon была возможность изучить образец Snowblind. В отчёте специалисты подчёркивают, что операторы зловреда используют новую технику, помогающую уйти от детектирования на целевом устройстве.

Как уже отмечалось выше, в этом им помогает функция «seccomp», которую представили в Android 8 (Oreo). Она работает в процессе Zygote, который по умолчанию является родительским для всех других в ОС.

Чтобы перехватить конфиденциальную информацию, Snowblind внедряет нативную библиотеку, задача которой — запуститься до защитного кода. Далее идёт установка фильтра seccomp, перехватывающего системные вызовы вроде «open() syscall».

 

Специалисты считают, что на сегодняшний день большинство приложений не смогут защищаться от Snowblind, поскольку вредонос использует необычные методы. В опубликованном видео эксперты показали, насколько незаметно для пользователя может отработать Snowblind:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ozon отстранил курьеров за использование данных клиентов

Маркетплейс Ozon сообщил об отстранении от работы курьеров, которые неправомерно использовали личные данные клиенток. Ранее депутат Госдумы Ксения Горячева обратилась к генеральному директору «Озон холдинг» Дмитрию Киму с запросом о мерах, предпринимаемых для защиты персональных данных пользователей.

Как передаёт ТАСС, документ с запросом оказался в распоряжении агентства. Поводом для обращения стали жалобы клиенток маркетплейса на недопустимое поведение курьеров.

В одном случае сотрудник использовал контактный номер покупательницы для личной переписки, в ходе которой допускал грубые и нецензурные выражения. В другом случае клиентка стала жертвой сталкинга — курьер звонил ей с разных номеров и проявлял агрессию в различных формах.

«О двух случаях, указанных в обращении, нам известно — эти курьеры были немедленно отстранены и внесены в чёрный список. Они больше не смогут доставлять заказы для сервисов Ozon, поскольку подобное поведение недопустимо», — сообщили в пресс-службе компании.

В Ozon также отметили, что с 2024 года в компании внедряется система защиты контактных данных клиентов. Теперь курьеры совершают звонки через виртуальные номера и не видят реальные контакты покупателей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru