Snowblind 滥用 Android seccomp 沙盒绕过安全机制

文章预览

安全研究人员最近发现了一种名为Snowblind的新型Android银行木马，它利用了Linux内核特性seccomp，这一特性是传统上用于安全防护的。Snowblind安装了一个seccomp过滤器，用于拦截系统调用并绕过应用程序中的反篡改机制，即使这些应用程序具有强大的混淆和完整性检查。 这种新的攻击向量使得该恶意软件能够窃取登录凭据、绕过双因素认证，并窃取数据，功能非常强大。有人认为这种技术有潜力以多种方式被利用来攻击应用程序。 传统上，安卓恶意软件可利用辅助功能服务窃取用户输入或控制应用程序，但现在应用程序可以检测到恶意的辅助功能服务，迫使攻击者采用重新打包攻击来绕过检测。 Snowblind 的工作原理 Snowblind 是一种新恶意软件，它利用 Linux 内核安全功能 seccomp 来发起更为复杂的重新打包攻击。 与使用虚拟化的 FjordPhantom 不同，Snowblind 在 ………………………………