SoumniBot मोबाइल मैलवेयर
SoumniBot नामक एक पहले से अज्ञात Android ट्रोजन सामने आया है और यह दक्षिण कोरिया में उपयोगकर्ताओं को सक्रिय रूप से लक्षित कर रहा है। यह मैनिफ़ेस्ट निष्कर्षण और पार्सिंग प्रक्रिया के भीतर कमज़ोरियों का फ़ायदा उठाता है। इस मैलवेयर को जो अलग बनाता है वह है पता लगाने और विश्लेषण से बचने की इसकी अनूठी रणनीति, मुख्य रूप से Android मैनिफ़ेस्ट फ़ाइल के अस्पष्टीकरण के माध्यम से।
प्रत्येक Android एप्लिकेशन के साथ रूट निर्देशिका में स्थित "AndroidManifest.xml" नामक एक मैनिफ़ेस्ट XML फ़ाइल होती है। यह फ़ाइल एप्लिकेशन के घटकों, अनुमतियों और आवश्यक हार्डवेयर और सॉफ़्टवेयर सुविधाओं को रेखांकित करती है।
यह समझते हुए कि खतरा खोजने वाले आमतौर पर एप्लिकेशन की कार्यक्षमता का पता लगाने के लिए उसके मैनिफ़ेस्ट फ़ाइल की जांच करके अपना विश्लेषण शुरू करते हैं, मैलवेयर के लिए जिम्मेदार दुर्भावनापूर्ण अभिनेताओं को इस प्रक्रिया को काफी जटिल बनाने के लिए तीन अलग-अलग तकनीकों का उपयोग करते हुए देखा गया है।
SoumniBot मोबाइल मैलवेयर का पता लगने से बचने के लिए नए उपाय अपनाए गए
प्रारंभिक दृष्टिकोण में libziparchive लाइब्रेरी का उपयोग करके APK की मैनिफ़ेस्ट फ़ाइल को अनपैक करने के दौरान संपीड़न विधि मान में हेरफेर करना शामिल है। यह विधि लाइब्रेरी के व्यवहार का फायदा उठाती है, जो 0x0000 या 0x0008 के अलावा किसी भी मान को असम्पीडित मानती है, जिससे डेवलपर्स को 8 को छोड़कर कोई भी मान डालने और असम्पीडित डेटा लिखने की अनुमति मिलती है।
उचित संपीड़न विधि सत्यापन के साथ अनपैकर्स द्वारा अमान्य माने जाने के बावजूद, Android APK पार्सर ऐसे मैनिफ़ेस्ट की सही व्याख्या करता है, जिससे एप्लिकेशन की स्थापना की अनुमति मिलती है। उल्लेखनीय रूप से, इस तकनीक को अप्रैल 2023 से विभिन्न Android बैंकिंग ट्रोजन से जुड़े ख़तरे वाले अभिनेताओं द्वारा अपनाया गया है।
दूसरे, SoumniBot संग्रहित मैनिफ़ेस्ट फ़ाइल आकार को गढ़ता है, जो वास्तविक आकार से अधिक मान प्रस्तुत करता है। परिणामस्वरूप, 'असंपीड़ित' फ़ाइल को सीधे कॉपी किया जाता है, जिसमें मैनिफ़ेस्ट पार्सर अधिशेष 'ओवरले' डेटा को अनदेखा कर देता है। जबकि सख्त मैनिफ़ेस्ट पार्सर ऐसी फ़ाइलों की व्याख्या करने में विफल हो जाते हैं, एंड्रॉइड पार्सर त्रुटियों का सामना किए बिना दोषपूर्ण मैनिफ़ेस्ट को संभालता है।
अंतिम रणनीति में मैनिफ़ेस्ट फ़ाइल के भीतर लंबे XML नामस्थान नामों को नियोजित करना शामिल है, जिससे विश्लेषण उपकरणों को उन्हें संसाधित करने के लिए पर्याप्त मेमोरी का आवंटन जटिल हो जाता है। हालाँकि, मैनिफ़ेस्ट पार्सर को नामस्थानों की अनदेखी करने के लिए डिज़ाइन किया गया है, इसलिए बिना किसी त्रुटि के फ़ाइल को संसाधित किया जाता है।
SoumniBot ने एंड्रॉयड डिवाइसों पर संवेदनशील डेटा को निशाना बनाया
सक्रिय होने के बाद, SoumniBot एक पूर्व-निर्धारित सर्वर पते से अपना कॉन्फ़िगरेशन डेटा पुनर्प्राप्त करता है, ताकि एकत्रित डेटा को संचारित करने और MQTT मैसेजिंग प्रोटोकॉल के माध्यम से कमांड प्राप्त करने के लिए उपयोग किए जाने वाले सर्वरों को प्राप्त किया जा सके।
यह असुरक्षित सेवा को सक्रिय करने के लिए प्रोग्राम किया गया है जो समाप्ति के मामले में हर 16 मिनट में पुनः आरंभ होता है, हर 15 सेकंड में जानकारी अपलोड करते हुए निरंतर संचालन सुनिश्चित करता है। इस डेटा में डिवाइस मेटाडेटा, संपर्क सूचियाँ, एसएमएस संदेश, फ़ोटो, वीडियो और इंस्टॉल किए गए एप्लिकेशन की सूची शामिल है।
इसके अतिरिक्त, मैलवेयर में संपर्क जोड़ने और हटाने, एसएमएस संदेश भेजने, साइलेंट मोड को टॉगल करने और एंड्रॉइड के डिबग मोड को सक्रिय करने जैसी कार्यक्षमताएं होती हैं। इसके अलावा, यह अपने एप्लिकेशन आइकन को छिपा सकता है, जिससे डिवाइस से अनइंस्टॉल करने के लिए इसका प्रतिरोध बढ़ जाता है।
सौमनीबोट की एक उल्लेखनीय विशेषता यह है कि यह बाह्य भंडारण मीडिया को .key और .der फाइलों के लिए स्कैन करने की क्षमता रखता है, जिसमें '/NPKI/yessign' तक जाने वाले पथ होते हैं, जो दक्षिण कोरिया द्वारा सरकारी (GPKI), बैंकिंग और ऑनलाइन स्टॉक एक्सचेंज (NPKI) उद्देश्यों के लिए प्रदान की गई डिजिटल हस्ताक्षर प्रमाणपत्र सेवा से मेल खाता है।
ये फ़ाइलें कोरियाई बैंकों द्वारा अपने ग्राहकों को जारी किए गए डिजिटल प्रमाणपत्रों का प्रतिनिधित्व करती हैं, जिनका उपयोग ऑनलाइन बैंकिंग प्लेटफ़ॉर्म में लॉग इन करने या बैंकिंग लेनदेन को सत्यापित करने के लिए किया जाता है। यह तकनीक एंड्रॉइड बैंकिंग मैलवेयर के बीच अपेक्षाकृत असामान्य है।
