Мобильное вредоносное ПО SoumniBot

Появился ранее неизвестный троянец для Android под названием SoumniBot, который активно атакует пользователей в Южной Корее. Он использует уязвимости в процессе извлечения и анализа манифеста. Что отличает это вредоносное ПО, так это его уникальная стратегия, позволяющая избежать обнаружения и анализа, в первую очередь за счет запутывания файла манифеста Android.

Каждое приложение Android сопровождается XML-файлом манифеста с именем «AndroidManifest.xml», расположенным в корневом каталоге. В этом файле описаны компоненты приложения, разрешения и необходимые аппаратные и программные функции.

Понимая, что охотники за угрозами обычно начинают свой анализ с изучения файла манифеста приложения, чтобы убедиться в его функциональности, злоумышленники, ответственные за вредоносное ПО, были замечены в использовании трех различных методов, которые значительно усложняют этот процесс.

Мобильная вредоносная программа SoumniBot принимает новые меры, чтобы избежать обнаружения

Первоначальный подход предполагает манипулирование значением метода сжатия во время распаковки файла манифеста APK с использованием библиотеки libziparchive. Этот метод использует поведение библиотеки, которая считает любое значение, кроме 0x0000 или 0x0008, несжатым, что позволяет разработчикам вставлять любое значение, кроме 8, и записывать несжатые данные.

Несмотря на то, что распаковщики с надлежащей проверкой метода сжатия считают его недействительным, анализатор Android APK правильно интерпретирует такие манифесты, позволяя установить приложение. Примечательно, что этот метод используется злоумышленниками, связанными с различными банковскими троянами Android, с апреля 2023 года.

Во-вторых, SoumniBot фабрикует размер архивного файла манифеста, предоставляя значение, превышающее фактический размер. Следовательно, «несжатый» файл копируется напрямую, при этом анализатор манифеста игнорирует лишние «оверлейные» данные. Хотя более строгие анализаторы манифеста не смогут интерпретировать такие файлы, анализатор Android обрабатывает ошибочный манифест, не обнаруживая ошибок.

Последняя тактика предполагает использование длинных имен пространств имен XML в файле манифеста, что усложняет выделение достаточного объема памяти для инструментов анализа для их обработки. Однако анализатор манифеста предназначен для игнорирования пространств имен, поэтому обработка файла не вызывает никаких ошибок.

SoumniBot нацелен на конфиденциальные данные на взломанных устройствах Android

После активации SoumniBot получает данные конфигурации с заранее установленного адреса сервера, чтобы получить доступ к серверам, используемым для передачи собранных данных и получения команд через протокол обмена сообщениями MQTT.

Он запрограммирован на активацию небезопасной службы, которая перезапускается каждые 16 минут в случае прекращения, обеспечивая непрерывную работу с загрузкой информации каждые 15 секунд. Эти данные включают метаданные устройства, списки контактов, SMS-сообщения, фотографии, видео и список установленных приложений.

Кроме того, вредоносное ПО обладает такими функциями, как добавление и удаление контактов, отправка SMS-сообщений, переключение беззвучного режима и активация режима отладки Android. Кроме того, он может скрывать значок приложения, повышая его устойчивость к удалению с устройства.

Примечательной особенностью SoumniBot является его способность сканировать внешние носители на наличие файлов .key и .der, содержащих пути, ведущие к «/NPKI/yessign», что соответствует службе сертификатов цифровой подписи, предоставляемой Южной Кореей для правительственных (GPKI), банковских учреждений. и для целей онлайн-фондовой биржи (NPKI).

Эти файлы представляют собой цифровые сертификаты, выдаваемые корейскими банками своим клиентам и используемые для входа в платформы онлайн-банкинга или проверки банковских транзакций. Этот метод относительно редко встречается среди банковских вредоносных программ для Android.