Od wielu lat po mimo starań ze strony Google i wprowadzeniu ulepszeń w zabezpieczeniach systemu Android, niestety dalej dochodzi do ataków na użytkowników. Wiele z nich jest na tyle zaawansowanych, że atakującym udaje się przedostać do oficjalnego sklepu z aplikacjami i to mimo dość rygorystycznego weryfikowania deweloperów. Jednak tym razem mamy do czynienia ze szkodnikiem, który wykorzystuje metody bezpieczeństwa do własnych korzyści, a jednocześnie nie występuje w Google Play.
Jak donosi firma Promon, zajmująca się analizą szkodliwego oprogramowania dla systemów mobilnych:
„W przeciwieństwie do innych złośliwych programów na system Android, Snowblind nadużywa „seccomp”, służącego do bezpiecznego używania funkcji jądra Linuksa, którą Android wykorzystuje do sprawdzania integralności programu, aby chronić użytkowników przed przepakowaniem aplikacji i niebezpiecznym działaniem.”
W tradycyjnym modelu APK aplikacji jest sprawdzane pod kątem manipulacji. W tej sytuacji filtr seccomp szkodnika Snowblind nie pozwala na kontynuowanie i zamiast tego uruchamia sygnał SIGSYS wskazujący, że proces wysłał zły argument do wywołania systemowego.
Według badaczy, z punktu widzenia użytkownika takie działanie w tle będzie niezauważalne, a jednoczesne możliwe będzie wyłączenie zabezpieczeń biometrycznych. Więcej szczegółów zaprezentowano na poniższym filmie:
http://youtube.com/watch?v=zUqZQlQ0ZzQ
Na szczęście dla użytkowników, aplikacja nie występuje w Google Play, a dodatkowo przed metodą używaną przez Snowblind, chroni włączona ochrona Google Play Protect.