SoumniBot Mobile Malware

Ilmunud on varem tundmatu Android-troojalane nimega SoumniBot, mis sihib aktiivselt Lõuna-Korea kasutajaid. See kasutab ära manifesti ekstraktimise ja parsimise protsessi haavatavusi. Selle pahavara eristab selle ainulaadne strateegia tuvastamise ja analüüsi vältimiseks, peamiselt Androidi manifesti faili hägustamise kaudu.

Iga Androidi rakendusega on kaasas manifesti XML-fail nimega AndroidManifest.xml, mis asub juurkataloogis. See fail kirjeldab rakenduse komponente, õigusi ning vajalikke riist- ja tarkvarafunktsioone.

Mõistes, et ohukütid alustavad analüüsi tavaliselt rakenduse manifesti faili uurimisega, et teha kindlaks selle funktsionaalsus, on pahavara eest vastutavaid pahatahtlikke tegureid täheldatud kolme erineva tehnika abil, mis muudavad selle protsessi märkimisväärselt keerulisemaks.

SoumniBoti mobiili pahavara võtab tuvastamise vältimiseks uudseid meetmeid

Esialgne lähenemisviis hõlmab tihendusmeetodi väärtuse manipuleerimist APK manifesti faili lahtipakkimisel libziparchive teegi abil. See meetod kasutab ära teegi käitumist, mis loeb tihendamata kõik väärtused peale 0x0000 või 0x0008, võimaldades arendajatel sisestada mis tahes väärtuse peale 8 ja kirjutada tihendamata andmeid.

Vaatamata sellele, et lahtipakkijad peavad õige tihendusmeetodi valideerimisega seda kehtetuks, tõlgendab Androidi APK parser selliseid manifeste õigesti, võimaldades rakenduse installimist. Nimelt on seda tehnikat kasutusele võtnud erinevate Androidi panganduse troojalastega seotud ohus osalejad alates 2023. aasta aprillist.

Teiseks valmistab SoumniBot arhiveeritud manifesti faili suuruse, esitades tegelikust suurusest suurema väärtuse. Järelikult kopeeritakse tihendamata fail otse, kusjuures manifesti parser ei arvesta üleliigseid ülekatteandmeid. Kui rangemad manifesti parserid ei suuda selliseid faile tõlgendada, siis Androidi parser käsitleb vigast manifesti vigu tegemata.

Viimane taktika hõlmab pikkade XML-nimeruumi nimede kasutamist manifestifailis, mis raskendab piisava mälu eraldamist analüüsitööriistadele nende töötlemiseks. Manifesti parser on aga loodud nimeruume eirama, seega töödeldakse faili ilma vigu tekitamata.

SoumniBot sihib rikutud Android-seadmete tundlikke andmeid

Pärast aktiveerimist hangib SoumniBot oma konfiguratsiooniandmed eelseadistatud serveriaadressilt, et hankida serverid, mida kasutatakse kogutud andmete edastamiseks ja käskude vastuvõtmiseks MQTT sõnumsideprotokolli kaudu.

See on programmeeritud aktiveerima ohtlikku teenust, mis käivitub katkestamise korral iga 16 minuti järel, tagades pideva töö, laadides teavet iga 15 sekundi järel. Need andmed hõlmavad seadme metaandmeid, kontaktide loendeid, SMS-sõnumeid, fotosid, videoid ja installitud rakenduste loendit.

Lisaks on pahavaral funktsioone, nagu kontaktide lisamine ja eemaldamine, SMS-sõnumite saatmine, vaikse režiimi sisselülitamine ja Androidi silumisrežiimi aktiveerimine. Lisaks võib see varjata oma rakenduse ikooni, suurendades selle vastupidavust seadmest desinstallimisele.

SoumniBoti tähelepanuväärne atribuut on selle võime skannida väliseid andmekandjaid .key- ja .der-failide otsimiseks, mis sisaldavad teed '/NPKI/yessign'-i, mis vastab Lõuna-Korea pakutavale digitaalallkirja sertifikaaditeenusele valitsusasutuste (GPKI) panganduse jaoks. ja online-börsi (NPKI) eesmärkidel.

Need failid kujutavad endast Korea pankade poolt klientidele väljastatud digitaalseid sertifikaate, mida kasutatakse Interneti-pangandusplatvormidele sisselogimiseks või pangatehingute kontrollimiseks. See tehnika on Androidi panganduse pahavara seas suhteliselt haruldane.