SoumniBot Mobile -haittaohjelma

Aiemmin tuntematon Android-troijalainen nimeltä SoumniBot on ilmaantunut ja kohdistaa aktiivisesti käyttäjiä Etelä-Koreassa. Se hyödyntää luettelon purku- ja jäsennysprosessin haavoittuvuuksia. Tämän haittaohjelman erottaa muista sen ainutlaatuinen strategia, jolla vältetään havaitseminen ja analysointi ensisijaisesti Android-luettelotiedoston hämärtymisen kautta.

Jokaisen Android-sovelluksen mukana on luettelo XML-tiedosto nimeltä "AndroidManifest.xml", joka sijaitsee juurihakemistossa. Tämä tiedosto esittelee sovelluksen komponentit, käyttöoikeudet ja tarvittavat laitteisto- ja ohjelmistoominaisuudet.

Ymmärtäen, että uhkien metsästäjät yleensä aloittavat analyysinsä tutkimalla sovelluksen luettelotiedostoa sen toimivuuden varmistamiseksi, haittaohjelmista vastuussa olevat haitalliset toimijat on havaittu käyttämällä kolmea erillistä tekniikkaa, jotka vaikeuttavat tätä prosessia merkittävästi.

SoumniBot Mobile -haittaohjelma ryhtyy uusiin toimenpiteisiin havaitsemisen estämiseksi

Alkuperäinen lähestymistapa sisältää pakkausmenetelmän arvon manipuloinnin APK:n luettelotiedoston purkamisen aikana libziparchive-kirjaston avulla. Tämä menetelmä hyödyntää kirjaston toimintaa, joka pitää mitä tahansa muuta arvoa kuin 0x0000 tai 0x0008 pakkaamattomana, jolloin kehittäjät voivat lisätä minkä tahansa arvon paitsi 8 ja kirjoittaa pakkaamattomia tietoja.

Huolimatta siitä, että purkajat pitävät sitä kelpaamattomana, kun pakkausmenetelmä on validoitu asianmukaisesti, Android APK -jäsentäjä tulkitsee sellaiset luettelot oikein, mikä mahdollistaa sovelluksen asennuksen. Erityisesti useisiin Android-pankkitroijalaisiin liittyvät uhkatoimijat ovat omaksuneet tämän tekniikan huhtikuusta 2023 lähtien.

Toiseksi SoumniBot valmistaa arkistoidun luettelotiedoston koon ja esittää arvon, joka ylittää todellisen koon. Tämän seurauksena "pakkaamaton" tiedosto kopioidaan suoraan niin, että luettelon jäsentäjä ei huomioi ylimääräisiä peittotietoja. Vaikka tiukemmat luettelon jäsentimet eivät pysty tulkitsemaan tällaisia tiedostoja, Android-jäsentäjä käsittelee virheellisen luettelon ilman virheitä.

Lopullinen taktiikka sisältää pitkien XML-nimiavaruuksien käyttämisen manifestitiedostossa, mikä vaikeuttaa riittävän muistin varaamista analyysityökaluille niiden käsittelemiseksi. Luettelon jäsentäjä on kuitenkin suunniteltu jättämään huomioimatta nimiavaruudet, joten se käsittelee tiedoston aiheuttamatta virheitä.

SoumniBot kohdistaa arkaluontoiset tiedot rikkoutuneisiin Android-laitteisiin

Aktivoinnin jälkeen SoumniBot hakee konfigurointitietonsa ennalta määritetystä palvelinosoitteesta hankkiakseen palvelimet, joita käytetään kerättyjen tietojen lähettämiseen ja komentojen vastaanottamiseen MQTT-viestintäprotokollan kautta.

Se on ohjelmoitu aktivoimaan vaarallinen palvelu, joka käynnistyy uudelleen 16 minuutin välein katkaisun sattuessa, mikä varmistaa jatkuvan toiminnan, kun tietoja ladataan 15 sekunnin välein. Nämä tiedot sisältävät laitteen metatiedot, yhteystietoluettelot, tekstiviestit, valokuvat, videot ja luettelon asennettuja sovelluksia.

Lisäksi haittaohjelmalla on toimintoja, kuten yhteystietojen lisääminen ja poistaminen, tekstiviestien lähettäminen, äänettömän tilan vaihtaminen ja Androidin virheenkorjaustilan aktivointi. Lisäksi se voi piilottaa sovelluskuvakkeensa, mikä parantaa sen vastustuskykyä asennuksen poistamiselle laitteesta.

SoumniBotin huomionarvoinen ominaisuus on sen kyky skannata ulkoisia tallennusvälineitä .key- ja .der-tiedostoille, jotka sisältävät polkuja '/NPKI/yessign'iin, mikä vastaa Etelä-Korean viranomaisille (GPKI) tarjoamaa digitaalisen allekirjoituksen varmennepalvelua. ja online-pörssin (NPKI) tarkoituksiin.

Nämä tiedostot edustavat korealaisten pankkien asiakkailleen myöntämiä digitaalisia varmenteita, joita käytetään verkkopankkialustoille kirjautumiseen tai pankkitapahtumien tarkistamiseen. Tämä tekniikka on suhteellisen harvinainen Android-pankkihaittaohjelmien joukossa.