SoumniBot Mobile Malware
Um Trojan Android até então desconhecido, chamado SoumniBot, surgiu e está visando ativamente usuários na Coreia do Sul. Ele explora vulnerabilidades no processo de extração e análise de manifesto. O que diferencia esse malware é sua estratégia exclusiva para evitar detecção e análise, principalmente por meio da ofuscação do arquivo de manifesto do Android.
Cada aplicativo Android é acompanhado por um arquivo XML de manifesto chamado “AndroidManifest.xml”, situado no diretório raiz. Este arquivo descreve os componentes, permissões e recursos de hardware e software necessários do aplicativo.
Compreendendo que os caçadores de ameaças geralmente iniciam sua análise examinando o arquivo de manifesto do aplicativo para verificar sua funcionalidade, os atores mal-intencionados responsáveis pelo malware foram observados utilizando três técnicas distintas para complicar significativamente esse processo.
O SoumniBot Mobile Malware Toma Novas Medidas para Evitar a Detecção
A abordagem inicial envolve a manipulação do valor do método Compression durante a descompactação do arquivo de manifesto do APK usando a biblioteca libziparchive. Este método explora o comportamento da biblioteca, que considera qualquer valor diferente de 0x0000 ou 0x0008 como descompactado, permitindo aos desenvolvedores inserir qualquer valor exceto 8 e gravar dados descompactados.
Apesar de ser considerado inválido por descompactadores com validação adequada do método de compactação, o analisador APK do Android interpreta corretamente tais manifestos, permitindo a instalação do aplicativo. Notavelmente, esta técnica foi adotada por agentes de ameaças associados a vários Trojans bancários Android desde abril de 2023.
Em segundo lugar, o SoumniBot fabrica o tamanho do arquivo de manifesto arquivado, apresentando um valor que excede o tamanho real. Consequentemente, o arquivo 'descompactado' é copiado diretamente, com o analisador de manifesto desconsiderando os dados excedentes de 'sobreposição'. Embora analisadores de manifesto mais rígidos não consigam interpretar esses arquivos, o analisador Android lida com o manifesto defeituoso sem encontrar erros.
A tática final envolve o emprego de nomes de namespace XML longos no arquivo de manifesto, complicando a alocação de memória suficiente para que as ferramentas de análise os processem. No entanto, o analisador de manifesto foi projetado para desconsiderar namespaces, processando assim o arquivo sem gerar erros.
O SoumniBot Visa Dados Confidenciais nos Dispositivos Android Violados
Após ser ativado, o SoumniBot recupera seus dados de configuração de um endereço de servidor pré-definido para adquirir os servidores utilizados para transmitir os dados coletados e receber comandos através do protocolo de mensagens MQTT.
Está programado para ativar um serviço inseguro que reinicia a cada 16 minutos em caso de encerramento, garantindo operação contínua enquanto carrega informações a cada 15 segundos. Esses dados abrangem metadados de dispositivos, listas de contatos, mensagens SMS, fotos, vídeos e uma lista de aplicativos instalados.
Além disso, o malware possui funcionalidades como adicionar e remover contatos, enviar mensagens SMS, alternar o modo silencioso e ativar o modo de depuração do Android. Além disso, pode ocultar o ícone do aplicativo, aumentando sua resistência à desinstalação do dispositivo.
Um atributo notável do SoumniBot é sua capacidade de verificar mídias de armazenamento externas em busca de arquivos .key e .der contendo caminhos que levam a '/NPKI/yessign', que corresponde ao serviço de certificado de assinatura digital fornecido pela Coreia do Sul para serviços governamentais (GPKI), bancários. e para fins de bolsa de valores online (NPKI).
Esses arquivos representam certificados digitais emitidos por bancos coreanos para seus clientes, utilizados para fazer login em plataformas bancárias on-line ou verificar transações bancárias. Essa técnica é relativamente incomum entre os malwares bancários para Android.
