SoumniBot Mobile Malware
Un troian Android necunoscut anterior, numit SoumniBot, a apărut și vizează în mod activ utilizatorii din Coreea de Sud. Exploatează vulnerabilitățile din cadrul procesului de extragere și analizare a manifestelor. Ceea ce diferențiază acest malware este strategia sa unică de a evita detectarea și analiza, în primul rând prin înfundarea fișierului manifest Android.
Fiecare aplicație Android este însoțită de un fișier XML manifest numit „AndroidManifest.xml”, situat în directorul rădăcină. Acest fișier prezintă componentele aplicației, permisiunile și caracteristicile hardware și software necesare.
Înțelegând că vânătorii de amenințări își inițiază în mod obișnuit analiza examinând fișierul manifest al aplicației pentru a verifica funcționalitatea acestuia, actorii rău intenționați responsabili pentru malware au fost observați utilizând trei tehnici distincte pentru a complica acest proces în mod semnificativ.
Programul malware SoumniBot Mobile ia măsuri noi pentru a evita detectarea
Abordarea inițială implică manipularea valorii metodei Compression în timpul despachetării fișierului manifest al APK-ului folosind biblioteca libziparchive. Această metodă exploatează comportamentul bibliotecii, care consideră orice altă valoare decât 0x0000 sau 0x0008 ca necomprimată, permițând dezvoltatorilor să introducă orice valoare cu excepția lui 8 și să scrie date necomprimate.
În ciuda faptului că este considerat invalid de către dezambalați cu validarea corectă a metodei de compresie, analizatorul APK pentru Android interpretează corect astfel de manifeste, permițând instalarea aplicației. În special, această tehnică a fost adoptată de actorii amenințărilor asociați cu diverși troieni bancare Android din aprilie 2023.
În al doilea rând, SoumniBot fabrică dimensiunea fișierului manifest arhivat, prezentând o valoare care depășește dimensiunea reală. În consecință, fișierul „necomprimat” este copiat direct, analizatorul manifest neținând seama de surplusul de date „suprapunere”. În timp ce analizatorii de manifeste mai stricti nu ar reuși să interpreteze astfel de fișiere, analizatorul Android gestionează manifestul defectuos fără a întâmpina erori.
Tactica finală implică folosirea numelor lungi de spațiu de nume XML în fișierul manifest, complicând alocarea de memorie suficientă pentru ca instrumentele de analiză să le proceseze. Cu toate acestea, parserul manifest este conceput pentru a ignora spațiile de nume, procesând astfel fișierul fără a genera erori.
SoumniBot vizează date sensibile de pe dispozitivele Android încălcate
După activare, SoumniBot își preia datele de configurare de la o adresă de server prestabilită pentru a achiziționa serverele utilizate pentru transmiterea datelor colectate și primirea comenzilor prin protocolul de mesagerie MQTT.
Este programat să activeze un serviciu nesigur care repornește la fiecare 16 minute în caz de încetare, asigurând funcționarea continuă în timp ce se încarcă informații la fiecare 15 secunde. Aceste date cuprind metadatele dispozitivului, liste de contacte, mesaje SMS, fotografii, videoclipuri și o listă de aplicații instalate.
În plus, malware-ul are funcționalități, cum ar fi adăugarea și eliminarea contactelor, trimiterea de mesaje SMS, comutarea modului silențios și activarea modului de depanare al Android. În plus, își poate ascunde pictograma aplicației, sporindu-și rezistența la dezinstalare de pe dispozitiv.
Un atribut notabil al SoumniBot este capacitatea sa de a scana medii de stocare externe pentru fișiere .key și .der care conțin căi care duc la „/NPKI/yessign”, care corespunde serviciului de certificat de semnătură digitală furnizat de Coreea de Sud pentru sectorul bancar guvernamental (GPKI). și în scopuri de bursă de valori online (NPKI).
Aceste fișiere reprezintă certificate digitale emise de băncile coreene clienților lor, utilizate pentru autentificarea la platformele bancare online sau pentru verificarea tranzacțiilor bancare. Această tehnică este relativ neobișnuită printre programele malware bancare Android.
