SoumniBot Mobile Malware

Objevil se dříve neznámý trojan Android nazvaný SoumniBot a aktivně cílí na uživatele v Jižní Koreji. Využívá zranitelnosti v procesu extrakce a analýzy manifestu. To, co odlišuje tento malware, je jeho jedinečná strategie vyhýbat se detekci a analýze, především prostřednictvím znejasnění souboru manifestu systému Android.

Každá aplikace pro Android je doprovázena manifestem souboru XML s názvem „AndroidManifest.xml“, který se nachází v kořenovém adresáři. Tento soubor popisuje součásti aplikace, oprávnění a nezbytné hardwarové a softwarové funkce.

S pochopením toho, že lovci hrozeb běžně zahajují svou analýzu zkoumáním souboru manifestu aplikace, aby se ujistili o její funkčnosti, byli záškodníci zodpovědní za malware pozorováni pomocí tří různých technik, které tento proces výrazně zkomplikovaly.

Mobilní malware SoumniBot přijímá nová opatření, aby se vyhnul detekci

Počáteční přístup zahrnuje manipulaci s hodnotou metody komprese během rozbalování souboru manifestu APK pomocí knihovny libziparchive. Tato metoda využívá chování knihovny, která považuje jakoukoli hodnotu jinou než 0x0000 nebo 0x0008 za nekomprimovanou, což umožňuje vývojářům vložit jakoukoli hodnotu kromě 8 a zapisovat nekomprimovaná data.

Navzdory tomu, že je rozbalovači se správným ověřením metody komprese považují za neplatné, analyzátor Android APK takové manifesty správně interpretuje a umožňuje instalaci aplikace. Je pozoruhodné, že tato technika byla od dubna 2023 přijata aktéry hrozeb spojenými s různými bankovními trojany Android.

Za druhé, SoumniBot vyrábí archivovanou velikost souboru manifestu a představuje hodnotu přesahující skutečnou velikost. V důsledku toho je „nekomprimovaný“ soubor přímo zkopírován, přičemž analyzátor manifestu nebere ohled na nadbytečná „překryvná“ data. Zatímco přísnější analyzátory manifestu by takové soubory nedokázaly interpretovat, analyzátor Android zpracuje chybný manifest, aniž by narazil na chyby.

Poslední taktika zahrnuje použití dlouhých jmen jmenných prostorů XML v souboru manifestu, což komplikuje alokaci dostatečné paměti pro analytické nástroje k jejich zpracování. Analyzátor manifestu je však navržen tak, aby ignoroval jmenné prostory, a proto soubor zpracoval bez vyvolání jakýchkoli chyb.

SoumniBot se zaměřuje na citlivá data na narušených zařízeních Android

Po aktivaci SoumniBot získá svá konfigurační data z přednastavené adresy serveru, aby získal servery používané pro přenos shromážděných dat a přijímání příkazů prostřednictvím protokolu zpráv MQTT.

Je naprogramován tak, aby aktivoval nebezpečnou službu, která se v případě ukončení každých 16 minut restartuje, čímž zajišťuje nepřetržitý provoz a odesílá informace každých 15 sekund. Tato data zahrnují metadata zařízení, seznamy kontaktů, zprávy SMS, fotografie, videa a seznam nainstalovaných aplikací.

Malware má navíc funkce, jako je přidávání a odebírání kontaktů, odesílání SMS zpráv, přepínání tichého režimu a aktivace režimu ladění Androidu. Kromě toho může skrýt ikonu své aplikace, čímž se zvýší její odolnost proti odinstalaci ze zařízení.

Pozoruhodným atributem SoumniBot je jeho schopnost skenovat externí paměťová média pro soubory .key a .der obsahující cesty vedoucí k '/NPKI/yessign', což odpovídá službě certifikátu digitálního podpisu poskytované Jižní Koreou pro vládní (GPKI), bankovnictví. a pro účely online burzy (NPKI).

Tyto soubory představují digitální certifikáty vydávané korejskými bankami svým zákazníkům, používané pro přihlašování do platforem online bankovnictví nebo ověřování bankovních transakcí. Tato technika je mezi bankovním malwarem Android poměrně neobvyklá.