SoumniBot Mobile Malware

Felbukkant egy korábban ismeretlen, SoumniBot névre keresztelt Android trójai, amely aktívan megcélozza a dél-koreai felhasználókat. Kiaknázza a sérülékenységeket a jegyzékfájl-kimásolási és -elemzési folyamaton belül. Ezt a rosszindulatú programot az az egyedülálló stratégia, amellyel elkerülhető az észlelés és elemzés, elsősorban az Android jegyzékfájljának elhomályosításán keresztül.

Minden Android-alkalmazáshoz tartozik egy „AndroidManifest.xml” nevű manifest XML-fájl, amely a gyökérkönyvtárban található. Ez a fájl felvázolja az alkalmazás összetevőit, engedélyeit, valamint a szükséges hardver- és szoftverfunkciókat.

Megértve, hogy a fenyegetésvadászok általában az alkalmazás jegyzékfájljának vizsgálatával kezdik az elemzést, hogy megbizonyosodjanak annak működőképességéről, a kártevőért felelős rosszindulatú szereplőket három különböző technikával figyelték meg, amelyek jelentősen megnehezítik ezt a folyamatot.

A SoumniBot Mobile rosszindulatú program újszerű intézkedéseket hoz az észlelés elkerülése érdekében

A kezdeti megközelítés magában foglalja a tömörítési módszer értékének manipulálását az APK jegyzékfájljának kicsomagolása során a libziparchive könyvtár használatával. Ez a módszer kihasználja a könyvtár viselkedését, amely a 0x0000-tól és a 0x0008-tól eltérő értéket tömörítetlennek tekinti, így a fejlesztők a 8 kivételével bármilyen értéket beilleszthetnek, és tömörítetlen adatokat írhatnak.

Annak ellenére, hogy a kicsomagolók a megfelelő tömörítési módszer érvényesítésével érvénytelennek ítélik, az Android APK elemző megfelelően értelmezi az ilyen jegyzékeket, lehetővé téve az alkalmazás telepítését. Figyelemre méltó, hogy ezt a technikát 2023 áprilisa óta alkalmazzák a különféle Android banki trójaikhoz kapcsolódó fenyegetés szereplői.

Másodszor, a SoumniBot elkészíti az archivált jegyzékfájl méretét, és a tényleges méretet meghaladó értéket jelenít meg. Következésképpen a „tömörítetlen” fájl közvetlenül másolásra kerül, a jegyzékelemző figyelmen kívül hagyva a többlet „overlay” adatokat. Míg a szigorúbb jegyzékelemzők nem képesek értelmezni az ilyen fájlokat, az Android elemző kezeli a hibás jegyzéket anélkül, hogy hibákat észlelne.

A végső taktika a hosszadalmas XML-névtér-nevek alkalmazása a jegyzékfájlban, ami megnehezíti a megfelelő memória lefoglalását az elemzési eszközök számára a feldolgozáshoz. A jegyzékelemző azonban úgy van megtervezve, hogy figyelmen kívül hagyja a névtereket, így a fájlt hiba nélkül dolgozza fel.

A SoumniBot érzékeny adatokat céloz meg a megsértett Android-eszközökön

Az aktiválás után a SoumniBot lekéri konfigurációs adatait egy előre beállított szervercímről, hogy megszerezze az összegyűjtött adatok továbbítására és parancsok fogadására használt szervereket az MQTT üzenetküldő protokollon keresztül.

Úgy van programozva, hogy egy nem biztonságos szolgáltatást aktiváljon, amely megszakítás esetén 16 percenként újraindul, biztosítva a folyamatos működést, miközben 15 másodpercenként tölti fel az információkat. Ezek az adatok magukban foglalják az eszköz metaadatait, névjegylistákat, SMS-üzeneteket, fényképeket, videókat és a telepített alkalmazások listáját.

Ezenkívül a rosszindulatú program olyan funkciókkal is rendelkezik, mint például a névjegyek hozzáadása és eltávolítása, az SMS-ek küldése, a néma mód átkapcsolása és az Android hibakeresési módjának aktiválása. Ezenkívül el tudja rejteni az alkalmazás ikonját, növelve az eszközről való eltávolítással szembeni ellenállást.

A SoumniBot egyik figyelemreméltó tulajdonsága, hogy képes külső adathordozókat keresni olyan .key és .der fájlok után, amelyek az „/NPKI/yessign”-hoz vezető útvonalat tartalmaznak, ami megfelel a Dél-Korea által a kormányzati (GPKI) banki szolgáltatások számára biztosított digitális aláírás-tanúsítvány-szolgáltatásnak. és online tőzsdei (NPKI) célokra.

Ezek a fájlok a koreai bankok által ügyfeleik számára kiadott digitális tanúsítványokat képviselik, amelyeket online banki platformokba való bejelentkezéshez vagy banki tranzakciók ellenőrzéséhez használnak. Ez a technika viszonylag ritka az Android banki kártevők körében.