SoumniBot Mobile Malware

Pojavil se je prej neznani trojanec za Android, imenovan SoumniBot, ki aktivno cilja na uporabnike v Južni Koreji. Izkorišča ranljivosti v procesu ekstrakcije manifesta in razčlenjevanja. Kar ločuje to zlonamerno programsko opremo, je njena edinstvena strategija za izogibanje odkrivanju in analizi, predvsem z zakrivanjem datoteke manifesta Android.

Vsako aplikacijo za Android spremlja manifestna datoteka XML z imenom »AndroidManifest.xml«, ki se nahaja v korenskem imeniku. Ta datoteka opisuje komponente aplikacije, dovoljenja ter potrebne funkcije strojne in programske opreme.

Glede na to, da lovci na grožnje običajno začnejo svojo analizo s preučevanjem datoteke manifesta aplikacije, da bi ugotovili njeno funkcionalnost, so opazili, da zlonamerni akterji, odgovorni za zlonamerno programsko opremo, uporabljajo tri različne tehnike, da ta proces znatno zapletejo.

Mobilna zlonamerna programska oprema SoumniBot uporablja nove ukrepe za preprečevanje odkrivanja

Začetni pristop vključuje manipulacijo vrednosti metode stiskanja med razpakiranjem datoteke manifesta APK-ja s knjižnico libziparchive. Ta metoda izkorišča vedenje knjižnice, ki vsako vrednost razen 0x0000 ali 0x0008 obravnava kot nestisnjeno, kar razvijalcem omogoča vstavljanje katere koli vrednosti razen 8 in pisanje nestisnjenih podatkov.

Kljub temu, da ga razpakirji z ustreznim preverjanjem metode stiskanja označijo za neveljavnega, razčlenjevalnik APK-jev za Android pravilno interpretira takšne manifeste in dovoljuje namestitev aplikacije. Predvsem to tehniko so od aprila 2023 sprejeli akterji groženj, povezani z različnimi bančnimi trojanci Android.

Drugič, SoumniBot izdela arhivirano velikost datoteke manifesta, ki predstavlja vrednost, ki presega dejansko velikost. Posledično se 'nestisnjena' datoteka neposredno prekopira, pri čemer razčlenjevalnik manifesta ne upošteva odvečnih 'prekrivnih' podatkov. Medtem ko strožji razčlenjevalniki manifestov ne bi uspeli interpretirati takšnih datotek, razčlenjevalnik Android obravnava manifest z napakami, ne da bi naletel na napake.

Končna taktika vključuje uporabo dolgih imen imenskih prostorov XML znotraj datoteke manifesta, kar otežuje dodelitev zadostnega pomnilnika za orodja za analizo, da jih obdelajo. Vendar pa je razčlenjevalnik manifesta zasnovan tako, da ne upošteva imenskih prostorov, zato obdela datoteko brez sprožanja napak.

SoumniBot cilja na občutljive podatke na napravah Android, v katerih je prišlo do vdora

Ko je aktiviran, SoumniBot pridobi svoje konfiguracijske podatke iz vnaprej nastavljenega naslova strežnika, da pridobi strežnike, ki se uporabljajo za prenos zbranih podatkov in sprejemanje ukazov prek protokola za sporočanje MQTT.

Programiran je tako, da aktivira nevarno storitev, ki se v primeru prekinitve znova zažene vsakih 16 minut, kar zagotavlja neprekinjeno delovanje, medtem ko nalaga informacije vsakih 15 sekund. Ti podatki vključujejo metapodatke naprave, sezname stikov, sporočila SMS, fotografije, videoposnetke in seznam nameščenih aplikacij.

Poleg tega ima zlonamerna programska oprema funkcije, kot so dodajanje in odstranjevanje stikov, pošiljanje sporočil SMS, preklapljanje tihega načina in aktiviranje načina za odpravljanje napak Androida. Poleg tega lahko prikrije svojo ikono aplikacije, s čimer poveča odpornost proti odstranitvi iz naprave.

Pomemben atribut SoumniBot je njegova zmožnost skeniranja zunanjih medijev za shranjevanje datotek .key in .der, ki vsebujejo poti, ki vodijo do '/NPKI/yessign', kar ustreza storitvi potrdila o digitalnem podpisu, ki jo zagotavlja Južna Koreja za vladno (GPKI), bančništvo in namene spletne borze (NPKI).

Te datoteke predstavljajo digitalna potrdila, ki jih izdajo korejske banke svojim strankam in se uporabljajo za prijavo v spletne bančne platforme ali preverjanje bančnih transakcij. Ta tehnika je razmeroma redka med zlonamerno programsko opremo za bančništvo Android.