SoumniBot mobilni zlonamjerni softver

Prethodno nepoznati Android trojanac nazvan SoumniBot se pojavio i aktivno cilja na korisnike u Južnoj Koreji. Iskorištava ranjivosti unutar procesa ekstrakcije manifesta i parsiranja. Ono što izdvaja ovaj zlonamjerni softver je njegova jedinstvena strategija izbjegavanja otkrivanja i analize, prvenstveno zamagljivanjem Android datoteke manifesta.

Svaku Android aplikaciju prati XML datoteka manifesta pod nazivom "AndroidManifest.xml", koja se nalazi u korijenskom direktoriju. Ova datoteka opisuje komponente aplikacije, dopuštenja i potrebne značajke hardvera i softvera.

Shvaćajući da lovci na prijetnje obično započinju svoju analizu ispitivanjem datoteke manifesta aplikacije kako bi utvrdili njezinu funkcionalnost, uočeno je da zlonamjerni akteri odgovorni za zlonamjerni softver koriste tri različite tehnike kako bi značajno zakomplicirali ovaj proces.

SoumniBot Mobile Malware poduzima nove mjere za izbjegavanje otkrivanja

Početni pristup uključuje manipuliranje vrijednošću metode kompresije tijekom raspakiranja datoteke manifesta APK-a pomoću biblioteke libziparchive. Ova metoda iskorištava ponašanje biblioteke, koja svaku vrijednost osim 0x0000 ili 0x0008 smatra nekomprimiranom, dopuštajući programerima umetanje bilo koje vrijednosti osim 8 i pisanje nekomprimiranih podataka.

Unatoč tome što ga programi za raspakiranje s pravilnom provjerom metode kompresije smatraju nevažećim, Android APK parser ispravno tumači takve manifeste, dopuštajući instalaciju aplikacije. Naime, ovu su tehniku usvojili akteri prijetnji povezani s raznim bankovnim trojancima za Android od travnja 2023.

Drugo, SoumniBot izrađuje veličinu datoteke arhiviranog manifesta, prikazujući vrijednost veću od stvarne veličine. Posljedično, 'nekomprimirana' datoteka izravno se kopira, pri čemu parser manifesta zanemaruje višak podataka 'prekrivanja'. Dok stroži parseri manifesta ne bi uspjeli protumačiti takve datoteke, Android parser obrađuje pogrešan manifest bez nailaska na pogreške.

Posljednja taktika uključuje korištenje dugih imena prostora imena XML-a unutar datoteke manifesta, komplicirajući dodjelu dovoljno memorije alatima za analizu da ih obrade. Međutim, parser manifesta dizajniran je tako da zanemaruje prostore imena, stoga obrađuje datoteku bez ikakvih pogrešaka.

SoumniBot cilja osjetljive podatke na oštećenim Android uređajima

Nakon što se aktivira, SoumniBot dohvaća svoje podatke o konfiguraciji s unaprijed postavljene adrese poslužitelja kako bi preuzeo poslužitelje koji se koriste za prijenos prikupljenih podataka i primanje naredbi putem MQTT protokola za razmjenu poruka.

Programiran je za aktiviranje nesigurne usluge koja se ponovno pokreće svakih 16 minuta u slučaju prekida, osiguravajući kontinuirani rad uz učitavanje informacija svakih 15 sekundi. Ovi podaci obuhvaćaju metapodatke uređaja, popise kontakata, SMS poruke, fotografije, videozapise i popis instaliranih aplikacija.

Dodatno, zlonamjerni softver posjeduje funkcionalnosti, kao što su dodavanje i uklanjanje kontakata, slanje SMS poruka, uključivanje tihog načina rada i aktiviranje načina otklanjanja pogrešaka Androida. Nadalje, može sakriti svoju ikonu aplikacije, povećavajući svoju otpornost na deinstalaciju s uređaja.

Značajan atribut SoumniBot-a je njegova sposobnost skeniranja vanjskih medija za pohranu u potrazi za .key i .der datotekama koje sadrže staze koje vode do '/NPKI/yessign,' što odgovara usluzi certifikata digitalnog potpisa koju pruža Južna Koreja za vladino (GPKI), bankarstvo i svrhe online burze (NPKI).

Ove datoteke predstavljaju digitalne certifikate koje izdaju korejske banke svojim klijentima, a koji se koriste za prijavu na platforme za internetsko bankarstvo ili provjeru bankovnih transakcija. Ova je tehnika relativno neuobičajena među zlonamjernim softverom za bankarstvo Android.