Мобилен зловреден софтуер SoumniBot

Появи се неизвестен досега троянски кон за Android, наречен SoumniBot, който активно се насочва към потребителите в Южна Корея. Той използва уязвимости в процеса на извличане и анализиране на манифеста. Това, което отличава този зловреден софтуер, е неговата уникална стратегия за избягване на откриване и анализ, основно чрез обфускация на манифестния файл на Android.

Всяко приложение за Android е придружено от манифестен XML файл с име „AndroidManifest.xml“, разположен в главната директория. Този файл очертава компонентите на приложението, разрешенията и необходимите хардуерни и софтуерни функции.

Разбирайки, че ловците на заплахи обикновено започват своя анализ, като изследват манифестния файл на приложението, за да установят неговата функционалност, злонамерените участници, отговорни за злонамерения софтуер, са наблюдавани да използват три различни техники, за да усложнят значително този процес.

Мобилният злонамерен софтуер SoumniBot предприема нови мерки, за да избегне откриването

Първоначалният подход включва манипулиране на стойността на метода на компресиране по време на разопаковането на файла с манифеста на APK с помощта на библиотеката libziparchive. Този метод използва поведението на библиотеката, която счита всяка стойност, различна от 0x0000 или 0x0008, за некомпресирана, което позволява на разработчиците да вмъкват всяка стойност с изключение на 8 и да записват некомпресирани данни.

Въпреки че е счетен за невалиден от програми за разопаковане с правилно валидиране на метода за компресиране, синтактичният анализатор на Android APK интерпретира правилно такива манифести, позволявайки инсталирането на приложението. Трябва да се отбележи, че тази техника е възприета от заплахи, свързани с различни банкови троянски коне за Android от април 2023 г.

Второ, SoumniBot изработва размера на файла на архивирания манифест, представяйки стойност, надвишаваща действителния размер. Следователно „некомпресираният“ файл се копира директно, като синтактичният анализатор на манифеста пренебрегва излишните данни за „наслагване“. Докато по-стриктните анализатори на манифести не биха успели да интерпретират такива файлове, анализаторът на Android обработва дефектния манифест, без да среща грешки.

Последната тактика включва използването на дълги XML имена на пространства от имена в рамките на манифестния файл, което усложнява разпределението на достатъчно памет за инструментите за анализ, които да ги обработват. Синтактичният анализатор на манифеста обаче е проектиран да пренебрегва пространствата от имена, като по този начин обработва файла, без да предизвиква никакви грешки.

SoumniBot се насочва към чувствителни данни на повредени устройства с Android

След като бъде активиран, SoumniBot извлича своите конфигурационни данни от предварително зададен адрес на сървър, за да придобие сървърите, използвани за предаване на събрани данни и получаване на команди чрез протокола за съобщения MQTT.

Той е програмиран да активира опасна услуга, която се рестартира на всеки 16 минути в случай на прекъсване, осигурявайки непрекъсната работа, докато качва информация на всеки 15 секунди. Тези данни включват метаданни на устройството, списъци с контакти, SMS съобщения, снимки, видеоклипове и списък с инсталирани приложения.

Освен това зловредният софтуер притежава функционалности като добавяне и премахване на контакти, изпращане на SMS съобщения, превключване на безшумен режим и активиране на режима за отстраняване на грешки на Android. Освен това, той може да скрие иконата на приложението си, повишавайки устойчивостта си срещу деинсталиране от устройството.

Забележителен атрибут на SoumniBot е способността му да сканира външни носители за съхранение за .key и .der файлове, съдържащи пътища, водещи до „/NPKI/yessign“, което съответства на услугата за сертификат за цифров подпис, предоставена от Южна Корея за правителствено (GPKI), банкиране и за целите на онлайн фондовата борса (NPKI).

Тези файлове представляват цифрови сертификати, издадени от корейски банки на техните клиенти, използвани за влизане в платформи за онлайн банкиране или проверка на банкови транзакции. Тази техника е сравнително необичайна сред зловреден софтуер за банкиране на Android.