Un nuovo e sofisticato malware Android, denominato Snowblind, è in grado di aggirare le misure di sicurezza e rubare le credenziali bancarie dagli utenti.
Un nuovo malware Android è stato individuato dai ricercatori. Secondo quanto riportato da Promon, l’azienda che lo ha scoperto, il malware Snowblind sfrutta una tecnica innovativa per compromettere le app bancarie su dispositivi Android, tanto che sembra sia efficace anche su smartphone dalle misure di sicurezza più avanzate.
Snowblind è considerato uno dei malware bancari per Android più sofisticati. Utilizza tecniche avanzate per evitare di essere rilevato, manipolando una funzionalità di sicurezza del kernel Linux integrata nel sistema operativo Android, chiamata seccomp (secure computing). Seccomp è progettato per limitare le richieste che un’app può fare al sistema operativo, controllando ciò che è autorizzata a fare. Il malware sfrutta in modo improprio i servizi di accessibilità per ottenere accesso a livello di sistema e compiere attività dannose senza che l’utente se ne accorga. Nonostante Android disponga di misure di sicurezza per rilevare servizi di accessibilità malevoli, Snowblind riesce a eluderle modificando le app utilizzando una tecnica poco conosciuta basata su seccomp.
Le conseguenze di questa tecnica sono attacchi dannosi sul dispositivo dell’utente, come il furto delle credenziali di accesso alle app bancarie, che possono essere usate per effettuare transazioni non autorizzate. Un’altra caratteristica di questo malware bancario è la capacità di disattivare funzionalità di sicurezza come l’autenticazione a due fattori e la verifica biometrica. Può anche rubare informazioni sensibili e dati di transazione dall’app, che possono essere utilizzati per attività fraudolente.
Promon ha rilevato che Snowblind è progettato per colpire le app bancarie Android nel Sud-Est asiatico, ma la tecnica utilizzata potrebbe presto essere ampliata per creare ulteriori exploit e attacchi. La natura nuova e sconosciuta di questa tecnica la rende difficile da rilevare per la maggior parte delle app moderne.
Promon ha sviluppato misure protettive contro Snowblind, inclusa la difesa contro potenziali varianti di attacchi basati su seccomp. La sua piattaforma Promon SHIELD offre agli sviluppatori strumenti per mantenere le loro app sicure. In ogni caso, il consiglio resta sempre quello di prestare attenzione a cosa si scarica e installa, evitando app da fonti sconosciute e file da siti sospetti.
