Les chercheurs en sécurité de Promon tirent la sonnette d’alarme. Depuis quelques mois, un malware Android du nom de Snowblind exploite une nouvelle technique « pour attaquer les applications Android ». Le virus, qualifié de cheval de Troie bancaire, cherche à exfiltrer des données personnelles des utilisateurs, dont des identifiants.
Pour arriver à ses fins, le malware abuse d’un mécanisme de sécurité intégré dans le noyau Linux d’Android, baptisé « seccomp » (Secure Computing). Présente depuis Android 8 Oreo, cette protection est conçue pour restreindre les appels système qu’une application peut effectuer, ce qui limite la possibilité d’interagir avec le système d’exploitation. In fine, le protocole réduit la surface d’attaques potentielles.
À lire aussi : Les hackers ont trouvé l’astuce pour contourner l’authentification à deux facteurs
Contourner les protections des apps Android
Le virus va exploiter ce mécanisme pour contourner les protections anti-altération d’Android. Ces protections ont été mises en place pour empêcher les modifications non autorisées des applications installées. En s’appuyant sur Secure Computing, Snowblind peut modifier une application et exploiter les services d’accessibilité d’Android pour piller les données personnelles des utilisateurs. Ces paramètres, censés aider les personnes malvoyantes à se servir du smartphone, sont régulièrement détournés par des logiciels malveillants. C’est d’ailleurs le mode opératoire de la dernière variante du malware Medusa.
Concrètement, Snowblind va injecter du code à l’application ciblée avant que les mécanismes de sécurité contre les modifications ne soient activés. Ensuite, le malware configure un filtre « seccomp » qui va lui permettre de manipuler ou de surveiller les accès aux fichiers de l’application. Les pirates réalisent en fait « une attaque de reconditionnement sur l’application qu’ils ciblent, où la partie du code de l’application qui détecte les services d’accessibilité malveillants est manipulée pour ne jamais rien détecter ». Cette attaque, très commune, est cependant améliorée par « une technique moins connue basée sur seccomp ». La combinaison des procédés permet aux cybercriminels d’arriver à leurs fins.
Cette stratégie laisse aussi Snowblind opérer en toute discrétion. L’exploitation de Secure Computing limite en effet l’impact sur les performances. L’attaque est totalement imperceptible pour la victime. Selon les chercheurs, le malware parvient finalement « à lire les informations sensibles affichées à l’écran, naviguer dans l’appareil, contrôler les applications, contourner les mesures de sécurité en automatisant les interactions qui nécessiteraient généralement l’intervention de l’utilisateur », et à « exfiltrer les informations personnelles identifiables sensibles ».
Une attaque méconnue
D’après les chercheurs de Promon, cette tactique est encore largement méconnue. De facto, les développeurs d’applications n’ont pas encore mis en place de protections contre ce type de cyberattaques. Dans son rapport, la société de sécurité indique n’avoir « jamais vu seccomp être utilisé comme vecteur d’attaque auparavant et nous avons été surpris de voir à quel point il peut être puissant et polyvalent s’il est utilisé de manière malveillante ».
« Les attaquants disposent maintenant d’un nouvel outil puissant pour attaquer une application efficacement », met en garde Promon.
Les experts ont remarqué que Snowblind était impliqué dans l’attaque d’une application appartenant à un développeur asiatique. On ignore si le malware est actuellement utilisé pour mener d’autres cyberattaques à l’encontre des applications Android. Contacté par Bleeping Computer, Google assure qu’aucune application infectée par Snowblind n’a été trouvée sur le Play Store.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Promon
