SoumniBot Mobile Malware

En tidligere ukendt Android-trojaner kaldet SoumniBot er dukket op og målretter aktivt mod brugere i Sydkorea. Det udnytter sårbarheder inden for den manifeste udtræknings- og parsingproces. Det, der adskiller denne malware, er dens unikke strategi til at undgå påvisning og analyse, primært gennem sløring af Android-manifestfilen.

Hver Android-applikation er ledsaget af en manifest XML-fil med navnet "AndroidManifest.xml," placeret i rodmappen. Denne fil beskriver programmets komponenter, tilladelser og nødvendige hardware- og softwarefunktioner.

Forståelse af, at trusselsjægere almindeligvis starter deres analyse ved at undersøge applikationens manifestfil for at fastslå dens funktionalitet, er de ondsindede aktører, der er ansvarlige for malwaren, blevet observeret ved at bruge tre forskellige teknikker til at komplicere denne proces betydeligt.

SoumniBot Mobile Malware tager nye foranstaltninger for at undgå opdagelse

Den indledende tilgang involverer manipulation af komprimeringsmetodeværdien under udpakningen af APK'ens manifestfil ved hjælp af libziparchive-biblioteket. Denne metode udnytter bibliotekets adfærd, som betragter enhver anden værdi end 0x0000 eller 0x0008 som ukomprimeret, hvilket giver udviklere mulighed for at indsætte enhver værdi undtagen 8 og skrive ukomprimerede data.

På trods af at den anses for ugyldig af udpakkere med korrekt validering af komprimeringsmetoden, fortolker Android APK-parseren sådanne manifester korrekt, hvilket tillader installationen af applikationen. Navnlig er denne teknik blevet vedtaget af trusselsaktører, der er forbundet med forskellige Android-banktrojanske heste siden april 2023.

For det andet fremstiller SoumniBot den arkiverede manifestfilstørrelse og præsenterer en værdi, der overstiger den faktiske størrelse. Som følge heraf kopieres den 'ukomprimerede' fil direkte, hvor manifestparseren ser bort fra de overskydende 'overlay'-data. Mens strengere manifest-parsere ville undlade at fortolke sådanne filer, håndterer Android-parseren det fejlbehæftede manifest uden at støde på fejl.

Den sidste taktik involverer at bruge lange XML-navneområdenavne i manifestfilen, hvilket komplicerer tildelingen af tilstrækkelig hukommelse til analyseværktøjer til at behandle dem. Manifestparseren er dog designet til at se bort fra navneområder, og behandler derfor filen uden at frembringe nogen fejl.

SoumniBot målretter mod følsomme data på krænkede Android-enheder

Efter at være blevet aktiveret, henter SoumniBot sine konfigurationsdata fra en forudindstillet serveradresse for at hente de servere, der bruges til at sende indsamlede data og modtage kommandoer gennem MQTT-meddelelsesprotokollen.

Den er programmeret til at aktivere en usikker tjeneste, der genstarter hvert 16. minut i tilfælde af opsigelse, hvilket sikrer kontinuerlig drift, mens information uploades hvert 15. sekund. Disse data omfatter enhedsmetadata, kontaktlister, SMS-beskeder, fotos, videoer og en liste over installerede applikationer.

Derudover besidder malwaren funktioner, såsom tilføjelse og fjernelse af kontakter, afsendelse af SMS-beskeder, skift af lydløs tilstand og aktivering af Androids fejlretningstilstand. Desuden kan den skjule sit applikationsikon, hvilket øger dens modstand mod afinstallation fra enheden.

En bemærkelsesværdig egenskab ved SoumniBot er dens evne til at scanne eksterne lagermedier for .key- og .der-filer, der indeholder stier, der fører til '/NPKI/yessign', som svarer til den digitale signaturcertifikattjeneste, der leveres af Sydkorea til statslige (GPKI), banker. og online børs (NPKI) formål.

Disse filer repræsenterer digitale certifikater udstedt af koreanske banker til deres kunder, brugt til at logge ind på netbankplatforme eller bekræfte banktransaktioner. Denne teknik er relativt usædvanlig blandt Android-bankmalware.