SoumniBot 모바일 악성코드

이전에 알려지지 않은 SoumniBot이라는 안드로이드 트로이 목마가 등장하여 한국 사용자를 적극적으로 표적으로 삼고 있습니다. 매니페스트 추출 및 구문 분석 프로세스의 취약점을 악용합니다. 이 악성코드를 차별화하는 것은 주로 Android 매니페스트 파일의 난독화를 통해 탐지 및 분석을 피하는 독특한 전략입니다.

각 Android 애플리케이션에는 루트 디렉터리에 있는 "AndroidManifest.xml"이라는 매니페스트 XML 파일이 함께 제공됩니다. 이 파일에는 애플리케이션의 구성 요소, 권한, 필요한 하드웨어 및 소프트웨어 기능이 간략하게 설명되어 있습니다.

위협 사냥꾼은 일반적으로 해당 기능을 확인하기 위해 애플리케이션의 매니페스트 파일을 검사하여 분석을 시작한다는 사실을 이해하고, 악성 코드를 담당하는 악의적 행위자는 세 가지 고유한 기술을 사용하여 이 프로세스를 상당히 복잡하게 만드는 것으로 관찰되었습니다.

SoumniBot 모바일 악성 코드는 탐지를 피하기 위해 새로운 조치를 취합니다

초기 접근 방식에는 libziparchive 라이브러리를 사용하여 APK의 매니페스트 파일을 압축 해제하는 동안 Compression 메서드 값을 조작하는 작업이 포함됩니다. 이 방법은 0x0000 또는 0x0008 이외의 모든 값을 압축되지 않은 것으로 간주하는 라이브러리의 동작을 활용하여 개발자가 8을 제외한 모든 값을 삽입하고 압축되지 않은 데이터를 쓸 수 있도록 합니다.

적절한 압축 방법 유효성 검사를 통해 압축 해제기에 의해 유효하지 않은 것으로 간주되었음에도 불구하고 Android APK 파서는 이러한 매니페스트를 올바르게 해석하여 애플리케이션 설치를 허용합니다. 특히 이 기술은 2023년 4월부터 다양한 안드로이드 뱅킹 트로이 목마와 관련된 위협 행위자들에 의해 채택되었습니다.

둘째, SoumniBot은 보관된 매니페스트 파일 크기를 조작하여 실제 크기를 초과하는 값을 제시합니다. 결과적으로 '압축되지 않은' 파일은 매니페스트 파서가 잉여 '오버레이' 데이터를 무시하면서 직접 복사됩니다. 더 엄격한 매니페스트 파서는 이러한 파일을 해석하지 못하지만 Android 파서는 오류 없이 결함이 있는 매니페스트를 처리합니다.

마지막 전술은 매니페스트 파일 내에 긴 XML 네임스페이스 이름을 사용하여 이를 처리하는 분석 도구에 충분한 메모리 할당을 복잡하게 만드는 것입니다. 그러나 매니페스트 파서는 네임스페이스를 무시하도록 설계되었으므로 오류가 발생하지 않고 파일을 처리합니다.

SoumniBot은 침해된 Android 기기의 민감한 데이터를 표적으로 삼습니다.

활성화된 후 SoumniBot은 미리 설정된 서버 주소에서 구성 데이터를 검색하여 MQTT 메시징 프로토콜을 통해 수집된 데이터를 전송하고 명령을 수신하는 데 사용되는 서버를 획득합니다.

종료 시 16분마다 다시 시작되는 안전하지 않은 서비스를 활성화하도록 프로그래밍되어 있어 15초마다 정보를 업로드하면서 지속적인 작동을 보장합니다. 이 데이터에는 장치 메타데이터, 연락처 목록, SMS 메시지, 사진, 비디오 및 설치된 애플리케이션 목록이 포함됩니다.

또한 이 악성코드는 연락처 추가 및 제거, SMS 메시지 발송, 무음 모드 전환, Android 디버그 모드 활성화와 같은 기능을 보유하고 있습니다. 또한 애플리케이션 아이콘을 숨길 수 있어 장치 제거에 대한 저항력이 향상됩니다.

SoumniBot의 주목할만한 특성은 외부 저장 매체에서 '/NPKI/yessign'으로 이어지는 경로가 포함된 .key 및 .der 파일을 검색하는 기능입니다. 이는 한국이 정부(GPKI), 은행용으로 제공하는 디지털 서명 인증서 서비스에 해당합니다. 및 온라인 증권 거래소(NPKI) 목적.

이 파일은 한국 은행이 고객에게 발행한 디지털 인증서를 나타내며 온라인 뱅킹 플랫폼에 로그인하거나 은행 거래를 확인하는 데 사용됩니다. 이 기술은 Android 뱅킹 악성코드에서는 비교적 흔하지 않습니다.