البرامج الضارة للهواتف المحمولة SoumniBot

ظهر حصان طروادة غير معروف سابقًا لنظام Android يُطلق عليه اسم SoumniBot ويستهدف المستخدمين بشكل نشط في كوريا الجنوبية. إنه يستغل نقاط الضعف في عملية الاستخراج والتحليل. ما يميز هذه البرامج الضارة هو إستراتيجيتها الفريدة لتجنب الكشف والتحليل، وذلك بشكل أساسي من خلال تشويش ملف بيان Android.

يكون كل تطبيق Android مصحوبًا بملف XML واضح باسم "AndroidManifest.xml"، الموجود في الدليل الجذر. يوضح هذا الملف مكونات التطبيق وأذوناته وميزات الأجهزة والبرامج الضرورية.

ومع إدراك أن صائدي التهديدات عادةً ما يبدأون تحليلهم من خلال فحص ملف بيان التطبيق للتأكد من وظائفه، فقد تمت ملاحظة الجهات الفاعلة الخبيثة المسؤولة عن البرامج الضارة وهي تستخدم ثلاث تقنيات متميزة لتعقيد هذه العملية بشكل كبير.

تتخذ البرمجيات الخبيثة SoumniBot Mobile إجراءات جديدة لتجنب اكتشافها

يتضمن الأسلوب الأولي معالجة قيمة طريقة الضغط أثناء تفريغ ملف بيان APK باستخدام مكتبة libziparchive. تستغل هذه الطريقة سلوك المكتبة، التي تعتبر أي قيمة غير 0x0000 أو 0x0008 غير مضغوطة، مما يسمح للمطورين بإدراج أي قيمة باستثناء 8 وكتابة بيانات غير مضغوطة.

على الرغم من اعتباره غير صالح من قبل القائمين على فك الحزم من خلال التحقق من صحة طريقة الضغط المناسبة، فإن محلل Android APK يفسر هذه البيانات بشكل صحيح، مما يسمح بتثبيت التطبيق. والجدير بالذكر أن هذه التقنية قد تم اعتمادها من قبل جهات التهديد المرتبطة بالعديد من أحصنة طروادة المصرفية التي تعمل بنظام Android منذ أبريل 2023.

ثانيًا، يقوم SoumniBot بتصنيع حجم ملف البيان المؤرشف، وتقديم قيمة تتجاوز الحجم الفعلي. وبالتالي، يتم نسخ الملف "غير المضغوط" مباشرة، مع تجاهل المحلل اللغوي لبيانات "التراكب" الفائضة. في حين أن محللي البيان الأكثر صرامة قد يفشلون في تفسير مثل هذه الملفات، فإن محلل Android يتعامل مع البيان المعيب دون مواجهة أخطاء.

يتضمن التكتيك الأخير استخدام أسماء مساحة اسم XML طويلة داخل ملف البيان، مما يؤدي إلى تعقيد تخصيص ذاكرة كافية لأدوات التحليل لمعالجتها. ومع ذلك، تم تصميم المحلل اللغوي لتجاهل مساحات الأسماء، وبالتالي معالجة الملف دون ظهور أي أخطاء.

SoumniBot يستهدف البيانات الحساسة على أجهزة Android المخترقة

بعد التنشيط، يقوم SoumniBot باسترداد بيانات التكوين الخاصة به من عنوان خادم محدد مسبقًا للحصول على الخوادم المستخدمة لنقل البيانات المجمعة وتلقي الأوامر من خلال بروتوكول المراسلة MQTT.

تمت برمجته لتفعيل خدمة غير آمنة يتم إعادة تشغيلها كل 16 دقيقة في حالة الإنهاء، مما يضمن استمرار التشغيل أثناء تحميل المعلومات كل 15 ثانية. تشمل هذه البيانات البيانات التعريفية للجهاز وقوائم جهات الاتصال والرسائل النصية القصيرة والصور ومقاطع الفيديو وقائمة بالتطبيقات المثبتة.

بالإضافة إلى ذلك، تمتلك البرامج الضارة وظائف، مثل إضافة جهات الاتصال وإزالتها، وإرسال رسائل نصية قصيرة، وتبديل الوضع الصامت، وتنشيط وضع تصحيح الأخطاء في Android. علاوة على ذلك، يمكنه إخفاء رمز التطبيق الخاص به، مما يعزز مقاومته لإلغاء التثبيت من الجهاز.

من السمات البارزة لـ SoumniBot قدرتها على فحص وسائط التخزين الخارجية بحثًا عن ملفات .key و .der التي تحتوي على مسارات تؤدي إلى "/NPKI/yessign"، والتي تتوافق مع خدمة شهادة التوقيع الرقمي التي تقدمها كوريا الجنوبية للمؤسسات الحكومية (GPKI) والبنوك. وأغراض البورصة عبر الإنترنت (NPKI).

تمثل هذه الملفات الشهادات الرقمية الصادرة عن البنوك الكورية لعملائها، والتي تستخدم لتسجيل الدخول إلى منصات الخدمات المصرفية عبر الإنترنت أو التحقق من المعاملات المصرفية. هذه التقنية غير شائعة نسبيًا بين البرامج الضارة المصرفية التي تعمل بنظام Android.