新的Android恶意软件“Snowblind”绕过了安全措施！它利用Linux的seccomp发起可扩展攻击并窃取您的数据。安全下载、更新您的设备并考虑使用移动安全以保持安全。

领先的移动应用安全提供商Promon发现了一种名为Snowblind的新Android恶意软件。在​​6月26日发布之前，Promon在其报告中透露，这种恶意软件具有独特的能力，可以禁用应用检测恶意修改的能力，从而绕过最强大的防篡改机制，使用户面临财务损失和欺诈等风险。

它通过操纵Android设备上的辅助功能服务和“seccomp”功能来实现其恶意目标。供您参考，“seccomp”（安全计算）是Linux内核中的安全过滤器，可限制应用程序对操作系统进行系统调用或请求的能力。辅助功能服务使残障用户能够与应用程序界面交互和修改应用程序界面、阅读屏幕内容、输入文本等。

Snowblind旨在通过绕过目标应用中的防篡改机制来阻止对重新打包的应用的检测。它会修改应用以避免检测无障碍服务，并使用seccomp功能来拦截和操纵系统调用，从而绕过安全检查并保持不被发现。它还会安装一个seccomp过滤器来捕获特定的系统调用，并使用信号处理程序来拦截和修改这些调用以防止检测。

通过此过滤器，Snowblind可以检查系统调用的来源，只有当调用来自防篡改库时，它才会生成信号。这提高了攻击速度，并允许攻击者过滤、检查和操纵任何系统调用。

根据Promon的博客文章，该恶意软件还可以操纵和追踪任何依赖系统调用的代码，即使它实现了系统调用并使其难以找到和修补，这也使其成为绕过防篡改机制的有力工具。

通过其操纵功能，Snowblind可以针对多个应用程序或系统功能（包括银行应用程序）来窃取登录凭据、劫持用户会话并禁用2FA或生物特征验证等安全功能。

此外，Snowblind还会泄露敏感信息和交易数据，使受害者面临欺诈风险。该病毒对所有现代Android设备都有效，从而提供了更广泛的攻击可能性。

为了防范Snowblind和类似威胁，Android用户应从可信来源和Google Play等官方应用商店下载应用，定期更新设备，考虑使用移动安全解决方案，并警惕异常的应用行为。如果某个应用开始消耗过多资源或显示意外的权限请求，请卸载它并向开发者或应用商店报告。