SoumniBot Mobile Malware
Ένας προηγουμένως άγνωστος Trojan Android με το όνομα SoumniBot εμφανίστηκε και στοχεύει ενεργά χρήστες στη Νότια Κορέα. Εκμεταλλεύεται τα τρωτά σημεία της διαδικασίας εξαγωγής και ανάλυσης του manifest. Αυτό που ξεχωρίζει αυτό το κακόβουλο λογισμικό είναι η μοναδική στρατηγική του για την αποφυγή εντοπισμού και ανάλυσης, κυρίως μέσω της συσκότισης του αρχείου μανιφέστου Android.
Κάθε εφαρμογή Android συνοδεύεται από ένα αρχείο μανιφέστου XML με το όνομα "AndroidManifest.xml", που βρίσκεται στον ριζικό κατάλογο. Αυτό το αρχείο περιγράφει τα στοιχεία, τα δικαιώματα και τις απαραίτητες δυνατότητες υλικού και λογισμικού της εφαρμογής.
Κατανοώντας ότι οι κυνηγοί απειλών συνήθως ξεκινούν την ανάλυσή τους εξετάζοντας το αρχείο δήλωσης της εφαρμογής για να επιβεβαιώσουν τη λειτουργικότητά του, οι κακόβουλοι παράγοντες που είναι υπεύθυνοι για το κακόβουλο λογισμικό έχουν παρατηρηθεί ότι χρησιμοποιούν τρεις διαφορετικές τεχνικές για να περιπλέξουν σημαντικά αυτήν τη διαδικασία.
Το SoumniBot Mobile Malware λαμβάνει νέα μέτρα για να αποφύγει τον εντοπισμό
Η αρχική προσέγγιση περιλαμβάνει τον χειρισμό της τιμής της μεθόδου συμπίεσης κατά την αποσυσκευασία του αρχείου δήλωσης του APK χρησιμοποιώντας τη βιβλιοθήκη libziparchive. Αυτή η μέθοδος εκμεταλλεύεται τη συμπεριφορά της βιβλιοθήκης, η οποία θεωρεί οποιαδήποτε τιμή εκτός από το 0x0000 ή το 0x0008 ως μη συμπιεσμένη, επιτρέποντας στους προγραμματιστές να εισάγουν οποιαδήποτε τιμή εκτός από το 8 και να γράφουν ασυμπίεστα δεδομένα.
Παρά το γεγονός ότι κρίθηκε μη έγκυρο από προγράμματα αποσυσκευασίας με σωστή επικύρωση μεθόδου συμπίεσης, ο αναλυτής APK Android ερμηνεύει σωστά τέτοιες δηλώσεις, επιτρέποντας την εγκατάσταση της εφαρμογής. Αξίζει να σημειωθεί ότι αυτή η τεχνική έχει υιοθετηθεί από παράγοντες απειλών που σχετίζονται με διάφορα τραπεζικά Trojans Android από τον Απρίλιο του 2023.
Δεύτερον, το SoumniBot κατασκευάζει το αρχειοθετημένο μέγεθος αρχείου δήλωσης, παρουσιάζοντας μια τιμή που υπερβαίνει το πραγματικό μέγεθος. Κατά συνέπεια, το αρχείο «ασυμπίεστο» αντιγράφεται απευθείας, με τον αναλυτή μανιφέστου να αγνοεί τα πλεονάζοντα δεδομένα «επικάλυψης». Ενώ οι πιο αυστηροί αναλυτές μανιφέστου δεν θα μπορούσαν να ερμηνεύσουν τέτοια αρχεία, ο αναλυτής Android χειρίζεται το ελαττωματικό μανιφέστο χωρίς να συναντήσει σφάλματα.
Η τελική τακτική περιλαμβάνει τη χρήση μεγάλων ονομάτων χώρων ονομάτων XML μέσα στο αρχείο δήλωσης, περιπλέκοντας την κατανομή επαρκούς μνήμης για εργαλεία ανάλυσης για την επεξεργασία τους. Ωστόσο, ο αναλυτής μανιφέστου έχει σχεδιαστεί για να αγνοεί τους χώρους ονομάτων, επεξεργάζεται επομένως το αρχείο χωρίς να δημιουργεί σφάλματα.
Το SoumniBot στοχεύει ευαίσθητα δεδομένα σε παραβιασμένες συσκευές Android
Αφού ενεργοποιηθεί, το SoumniBot ανακτά τα δεδομένα διαμόρφωσής του από μια προκαθορισμένη διεύθυνση διακομιστή για να αποκτήσει τους διακομιστές που χρησιμοποιούνται για τη μετάδοση συλλεγόμενων δεδομένων και τη λήψη εντολών μέσω του πρωτοκόλλου μηνυμάτων MQTT.
Είναι προγραμματισμένο να ενεργοποιεί μια μη ασφαλή υπηρεσία που επανεκκινείται κάθε 16 λεπτά σε περίπτωση τερματισμού, εξασφαλίζοντας συνεχή λειτουργία κατά τη μεταφόρτωση πληροφοριών κάθε 15 δευτερόλεπτα. Αυτά τα δεδομένα περιλαμβάνουν μεταδεδομένα συσκευής, λίστες επαφών, μηνύματα SMS, φωτογραφίες, βίντεο και έναν κατάλογο εγκατεστημένων εφαρμογών.
Επιπλέον, το κακόβουλο λογισμικό διαθέτει λειτουργίες, όπως προσθήκη και αφαίρεση επαφών, αποστολή μηνυμάτων SMS, εναλλαγή αθόρυβης λειτουργίας και ενεργοποίηση της λειτουργίας εντοπισμού σφαλμάτων του Android. Επιπλέον, μπορεί να κρύψει το εικονίδιο εφαρμογής του, ενισχύοντας την αντίστασή του στην απεγκατάσταση από τη συσκευή.
Ένα αξιοσημείωτο χαρακτηριστικό του SoumniBot είναι η ικανότητά του να σαρώνει εξωτερικά μέσα αποθήκευσης για αρχεία .key και .der που περιέχουν διαδρομές που οδηγούν στο '/NPKI/yessign, το οποίο αντιστοιχεί στην υπηρεσία πιστοποιητικού ψηφιακής υπογραφής που παρέχεται από τη Νότια Κορέα για κυβερνητικές (GPKI), τραπεζικές υπηρεσίες και διαδικτυακούς σκοπούς χρηματιστηρίου (NPKI).
Αυτά τα αρχεία αντιπροσωπεύουν ψηφιακά πιστοποιητικά που εκδίδονται από κορεατικές τράπεζες στους πελάτες τους, που χρησιμοποιούνται για τη σύνδεση σε διαδικτυακές πλατφόρμες τραπεζικών συναλλαγών ή την επαλήθευση τραπεζικών συναλλαγών. Αυτή η τεχνική είναι σχετικά ασυνήθιστη μεταξύ των τραπεζικών κακόβουλων προγραμμάτων Android.
