بدافزار موبایل SoumniBot

یک تروجان اندرویدی که قبلاً ناشناخته بود با نام SoumniBot ظاهر شد و به طور فعال کاربران کره جنوبی را هدف قرار می دهد. از آسیب پذیری های موجود در فرآیند استخراج و تجزیه مانیفست سوء استفاده می کند. چیزی که این بدافزار را متمایز می‌کند، استراتژی منحصربه‌فرد آن برای جلوگیری از شناسایی و تجزیه و تحلیل، عمدتاً از طریق مبهم کردن فایل مانیفست اندروید است.

هر برنامه Android با یک فایل XML مانیفست به نام "AndroidManifest.xml" همراه است که در فهرست اصلی قرار دارد. این فایل به تشریح اجزای برنامه، مجوزها و ویژگی های سخت افزاری و نرم افزاری ضروری می پردازد.

با درک اینکه شکارچیان تهدید معمولاً تجزیه و تحلیل خود را با بررسی فایل مانیفست برنامه برای اطمینان از عملکرد آن آغاز می کنند، عوامل مخرب مسئول بدافزار مشاهده شده اند که از سه تکنیک مجزا برای پیچیده کردن این فرآیند به طور قابل توجهی استفاده می کنند.

بدافزار موبایل SoumniBot اقدامات جدیدی را برای جلوگیری از شناسایی انجام می دهد

رویکرد اولیه شامل دستکاری مقدار روش فشرده سازی در حین باز کردن بسته بندی فایل مانیفست APK با استفاده از کتابخانه libziparchive است. این روش از رفتار کتابخانه سوء استفاده می کند که هر مقداری غیر از 0x0000 یا 0x0008 را غیرفشرده در نظر می گیرد و به توسعه دهندگان این امکان را می دهد که هر مقداری به جز 8 را وارد کرده و داده های فشرده نشده بنویسند.

علیرغم اینکه توسط بازکننده‌های بسته‌بندی با اعتبارسنجی روش فشرده‌سازی مناسب نامعتبر تلقی می‌شود، تجزیه‌کننده APK Android به درستی چنین مانیفست‌هایی را تفسیر می‌کند و اجازه نصب برنامه را می‌دهد. شایان ذکر است، این تکنیک از آوریل 2023 توسط عوامل تهدید مرتبط با تروجان های مختلف بانکداری اندروید استفاده شده است.

ثانیا، SoumniBot اندازه فایل مانیفست بایگانی شده را ایجاد می کند و مقداری بیش از اندازه واقعی ارائه می دهد. در نتیجه، فایل «غیر فشرده» مستقیماً کپی می‌شود و تجزیه‌کننده مانیفست داده‌های «همپوشانی» اضافی را نادیده می‌گیرد. در حالی که تجزیه‌کننده‌های مانیفست دقیق‌تر در تفسیر چنین فایل‌هایی ناکام می‌مانند، تجزیه‌کننده اندروید مانیفست معیوب را بدون برخورد با خطا مدیریت می‌کند.

تاکتیک نهایی شامل استفاده از نام فضای نام طولانی XML در فایل مانیفست است که تخصیص حافظه کافی برای ابزارهای تجزیه و تحلیل برای پردازش آنها را پیچیده می کند. با این حال، تجزیه کننده مانیفست به گونه ای طراحی شده است که فضاهای نام را نادیده می گیرد، بنابراین فایل را بدون ایجاد هیچ خطایی پردازش می کند.

SoumniBot داده‌های حساس دستگاه‌های اندرویدی را هدف قرار می‌دهد

پس از فعال‌سازی، SoumniBot داده‌های پیکربندی خود را از یک آدرس سرور از پیش تنظیم‌شده بازیابی می‌کند تا سرورهایی را که برای انتقال داده‌های جمع‌آوری‌شده و دریافت دستورات از طریق پروتکل پیام‌رسانی MQTT استفاده می‌شوند، به دست آورد.

این برنامه به گونه‌ای برنامه‌ریزی شده است که یک سرویس ناامن را فعال کند که در صورت پایان هر 16 دقیقه یک بار مجدداً راه‌اندازی می‌شود و عملکرد مداوم را در حین آپلود اطلاعات هر 15 ثانیه یکبار تضمین می‌کند. این داده ها شامل متادیتای دستگاه، لیست مخاطبین، پیامک ها، عکس ها، ویدیوها و فهرستی از برنامه های نصب شده است.

علاوه بر این، بدافزار دارای قابلیت هایی مانند افزودن و حذف مخاطبین، ارسال پیامک، تغییر حالت خاموش و فعال کردن حالت اشکال زدایی اندروید است. علاوه بر این، می تواند نماد برنامه خود را پنهان کند و مقاومت آن را در برابر حذف نصب از دستگاه افزایش دهد.

ویژگی قابل توجه SoumniBot توانایی آن در اسکن رسانه های ذخیره سازی خارجی برای فایل های key. و .der حاوی مسیرهای منتهی به '/NPKI/yessign' است که با خدمات گواهی امضای دیجیتال ارائه شده توسط کره جنوبی برای بانک های دولتی (GPKI) مطابقت دارد. و اهداف بورس آنلاین (NPKI).

این فایل‌ها گواهی‌های دیجیتال صادر شده توسط بانک‌های کره‌ای برای مشتریان خود را نشان می‌دهند که برای ورود به سیستم‌های بانکی آنلاین یا تأیید تراکنش‌های بانکی استفاده می‌شوند. این تکنیک در بین بدافزارهای بانکی اندروید نسبتاً غیر معمول است.