SoumniBot Mobile Malware

Trojan Android yang tidak dikenali sebelum ini digelar SoumniBot telah muncul dan secara aktif menyasarkan pengguna di Korea Selatan. Ia mengeksploitasi kelemahan dalam proses pengekstrakan dan penghuraian nyata. Apa yang membezakan perisian hasad ini ialah strategi uniknya untuk mengelakkan pengesanan dan analisis, terutamanya melalui pengeliruan fail manifes Android.

Setiap aplikasi Android disertakan dengan fail XML manifes bernama "AndroidManifest.xml," yang terletak dalam direktori akar. Fail ini menggariskan komponen aplikasi, kebenaran dan ciri perkakasan dan perisian yang diperlukan.

Memahami bahawa pemburu ancaman biasanya memulakan analisis mereka dengan memeriksa fail manifes aplikasi untuk memastikan kefungsiannya, pelakon berniat jahat yang bertanggungjawab terhadap perisian hasad telah diperhatikan menggunakan tiga teknik berbeza untuk merumitkan proses ini dengan ketara.

Perisian Mudah Alih SoumniBot Mengambil Langkah Baru untuk Mengelak Pengesanan

Pendekatan awal melibatkan memanipulasi nilai kaedah Mampatan semasa membongkar fail manifes APK menggunakan perpustakaan libziparchive. Kaedah ini mengeksploitasi gelagat perpustakaan, yang menganggap sebarang nilai selain 0x0000 atau 0x0008 sebagai tidak dimampatkan, membenarkan pembangun memasukkan sebarang nilai kecuali 8 dan menulis data tidak dimampatkan.

Walaupun dianggap tidak sah oleh pembongkar dengan pengesahan kaedah pemampatan yang betul, penghurai APK Android dengan betul mentafsir manifes tersebut, membenarkan pemasangan aplikasi. Terutama, teknik ini telah diterima pakai oleh pelaku ancaman yang dikaitkan dengan pelbagai Trojan perbankan Android sejak April 2023.

Kedua, SoumniBot mengarang saiz fail manifes yang diarkibkan, membentangkan nilai melebihi saiz sebenar. Akibatnya, fail 'tidak dimampatkan' disalin terus, dengan penghurai manifes mengabaikan lebihan data 'tindanan'. Walaupun penghurai manifes yang lebih ketat akan gagal mentafsir fail sedemikian, penghurai Android mengendalikan manifes yang cacat tanpa menghadapi ralat.

Taktik terakhir melibatkan penggunaan nama ruang nama XML yang panjang dalam fail manifes, merumitkan peruntukan memori yang mencukupi untuk alat analisis untuk memprosesnya. Walau bagaimanapun, penghurai manifes direka untuk mengabaikan ruang nama, justeru memproses fail tanpa menimbulkan sebarang ralat.

SoumniBot Menyasarkan Data Sensitif pada Peranti Android yang Dilanggar

Selepas diaktifkan, SoumniBot mendapatkan semula data konfigurasinya daripada alamat pelayan yang telah ditetapkan untuk memperoleh pelayan yang digunakan untuk menghantar data yang dikumpul dan menerima arahan melalui protokol pemesejan MQTT.

Ia diprogramkan untuk mengaktifkan perkhidmatan tidak selamat yang dimulakan semula setiap 16 minit sekiranya berlaku penamatan, memastikan operasi berterusan semasa memuat naik maklumat setiap 15 saat. Data ini merangkumi metadata peranti, senarai kenalan, mesej SMS, foto, video dan senarai aplikasi yang dipasang.

Selain itu, perisian hasad mempunyai fungsi, seperti menambah dan mengalih keluar kenalan, menghantar mesej SMS, menogol mod senyap dan mengaktifkan mod nyahpepijat Android. Tambahan pula, ia boleh menyembunyikan ikon aplikasinya, meningkatkan ketahanannya terhadap penyahpasangan daripada peranti.

Atribut terkenal SoumniBot ialah keupayaannya untuk mengimbas media storan luaran untuk fail .key dan .der yang mengandungi laluan menuju ke '/NPKI/yessign,' yang sepadan dengan perkhidmatan sijil tandatangan digital yang disediakan oleh Korea Selatan untuk kerajaan (GPKI), perbankan dan tujuan bursa saham dalam talian (NPKI).

Fail ini mewakili sijil digital yang dikeluarkan oleh bank Korea kepada pelanggan mereka, digunakan untuk log masuk ke platform perbankan dalam talian atau mengesahkan transaksi perbankan. Teknik ini agak jarang berlaku dalam kalangan perisian hasad perbankan Android.