Promonは6月26日(現地時間)、「Snowblind Android Malware - Promon」において、Androidデバイスを狙うバンキング型トロイの木馬「Snowblind」を発見したと報じた。SnowblindはLinuxのセキュリティ機能「seccomp(secure computing mode)」を悪用してAndroidアプリを攻撃するとされる。

  • Snowblind Android Malware - Promon

    Snowblind Android Malware - Promon

seccompの悪用

Android向けマルウェアの多くはアクセシビリティサービスを悪用する。しかしながら、銀行アプリなどは悪用可能なアクセシビリティサービスの許可を検出して、警告表示または強制終了することで攻撃を妨害する。そこで、マルウェアの開発者は標的のアプリを改ざんして検出できないようにする手法を使用する。

ところが、近年のアプリには高度な改ざん検出機能が組み込まれ、この手法は使用できなくなった。そのため、マルウェアの開発者は新しい検出回避機能を開発する必要に迫られ、ユーザーは一時的ではあるが安全を手に入れることができた。

2023年11月(現地時間)、Promonはこの問題を解決したマルウェア「FjordPhantom」を発見したと発表した。FjordPhantomは仮想環境とAPI(Application Programming Interface)をフックする手法を利用して検出を回避するとされる(参考:「Android狙う新しいバンキング型マルウェアが拡散中、要注意 | TECH+(テックプラス)」)。

今回発見されたマルウェア「Snowblind」も同様に検出を回避する機能を持つという。Promonの分析によると、その手法が特徴的で、Androidアプリのサンドボックス化に利用されるセキュリティ機能の「seccomp-bpf(seccompの拡張版)」を悪用するという。

seccomp-bpfはシステムコールを制限し、プロセスをシステムリソースから完全に独立させる機能を提供する。また、システムコールをフィルタリングし、複数の簡単な処理を実行することができる。

Snowblindは標的のアプリに追加のライブラリを配置し、改ざん検出機能を回避する。具体的にはライブラリ内部でseccomp-bpfを設定し、改ざん防止機能から呼び出されるopen関数をフィルタリングする。open対象のファイルが改ざんした標的パッケージの場合、改ざんしていない元のパッケージを開いて応答することで改ざんの検出を回避する。

  • Snowblindの攻撃手法 - 引用:Promon

    Snowblindの攻撃手法 引用:Promon

対策

PromonはSnowblindの攻撃手法を防御できるアプリは少ないと推測している。今後対応するアプリは増加すると予想されるが、当面の間はPromonのセキュリティソリューションを導入することで同様の攻撃を防御できるという。

ユーザーにはこのような攻撃を回避するため、公式ストアからのみアプリをインストールし、不用意にアクセシビリティサービスを許可しないことが推奨されている。また、銀行アプリなどが警告を表示した場合は使用を中止し、マルウェアに感染していないかどうか調査することが望まれている。