PIKIRAN RAKYAT - Vektor serangan Android baru dari malware yang dikenal sebagai Snowblind menyalahgunakan fitur keamanan untuk menerobos aplikasi yang memuat data pengguna.
Snowblind mengemas ulang aplikasi target agar tidak dapat mendeteksi penyalahgunaan layanan aksesbilitas yang memungkinannya memperoleh masukan pengguna seperti kredensial atau memperoleh akses kendali jauh untuk menjalankan kriminal.
Tidak seperti malware Android lainnya, Snowblind menyalahgunakan seccomp (secure computing) atau fitur kernel Linux yang digunakan Android untuk pemeriksaan integritas pada aplikasi, guna melindungi pengguna dari tindakan seperti intal ulang aplikasi.
Baca Juga: Waspadai Pesan Error Palsu di Google Chrome, Ancaman Malware Baru
Penyalahgunaan Fitur Keamanan Seccomp
Perusahaan keamanan aplikasi seluler Promon dapat menganalisis bagaimana Snowblind mencapai tujuannya tanpa terdeteksi setelah menerima sampel dari i-Sprint, mitra yang menyediakan akses dan perlindungan sistem identitas untuk bisnis.
"Malware ini menyerang aplikasi salah satu pelanggan i-Sprint di Asia Tenggara. Analisis kami terhadap Snowblind menemukan bahwa malware ini menggunakan teknik baru untuk menyerang aplikasi Android berdasarkan fitur kernel Linux seccomp," kata Promon, dikutip dari Indian Express pada Jumat, 28 Juni 2024.
Seccomp adalah fitur keamanan kernel Linux yang dirancang untuk mengurangi permukaan serangan aplikasi dengan membatasi panggilan sistem (syscall) yang dapat dilakukannya. Fitur ini berfungsi sebagai filter untuk syscall yang diizinkan dijalankan oleh aplikasi, memblokir syscall yang telah disalahgunakan dalam serangan.
Google pertama kali mengintegrasikan seccomp di Android 8 (Oreo), mengimplementasikannya dalam proses Zygote, yang merupakan proses induk dari semua aplikasi Android.
Snowblind menargetkan aplikasi yang menangani data sensitif dengan menyuntikkan pustaka asli yang dimuat sebelum kode anti-perusakan, dan memasang filter seccomp untuk menyadap panggilan sistem seperti 'open() syscall,' yang umum digunakan dalam akses berkas.
Ketika APK aplikasi target diperiksa untuk kemungkinan gangguan, filter seccomp Snowblind tidak mengizinkan panggilan untuk dilanjutkan dan malah memicu sinyal SIGSYS yang menunjukkan bahwa proses telah mengirimkan argumen yang salah ke panggilan sistem.