SoumniBot Mobile Malware

Раније непознати Андроид тројанац под називом СоумниБот се појавио и активно циља на кориснике у Јужној Кореји. Искоришћава рањивости унутар процеса екстракције и рашчлањивања манифеста. Оно што овај злонамерни софтвер издваја је његова јединствена стратегија за избегавање откривања и анализе, првенствено кроз замагљивање датотеке манифеста Андроид-а.

Свака Андроид апликација је праћена КСМЛ датотеком манифеста под називом „АндроидМанифест.кмл“, која се налази у основном директоријуму. Ова датотека описује компоненте апликације, дозволе и неопходне хардверске и софтверске функције.

Схватајући да ловци на претње обично започињу своју анализу испитивањем датотеке манифеста апликације како би се утврдила њена функционалност, примећени су злонамерни актери одговорни за малвер који користе три различите технике да значајно закомпликују овај процес.

СоумниБот Мобиле Малвер предузима нове мере да избегне откривање

Почетни приступ укључује манипулацију вредности методе компресије током распакивања датотеке манифеста АПК-а помоћу библиотеке либзипарцхиве. Овај метод искоришћава понашање библиотеке, која сматра било коју вредност осим 0к0000 или 0к0008 некомпримованом, омогућавајући програмерима да убаце било коју вредност осим 8 и запишу некомпримоване податке.

Упркос томе што га распакивачи сматрају неважећим уз одговарајућу валидацију метода компресије, Андроид АПК парсер исправно тумачи такве манифесте, дозвољавајући инсталацију апликације. Значајно је да су ову технику усвојили актери претњи повезани са разним Андроид банкарским тројанцима од априла 2023.

Друго, СоумниБот фабрикује архивирану величину датотеке манифеста, представљајући вредност која премашује стварну величину. Сходно томе, 'некомпримована' датотека се директно копира, при чему анализатор манифеста занемарује вишак података 'преклапања'. Док строжи рашчлањивачи манифеста не би успели да протумаче такве датотеке, Андроид парсер обрађује погрешан манифест без наилази на грешке.

Последња тактика укључује коришћење дугачких КСМЛ имена простора имена унутар манифест датотеке, што компликује алокацију довољно меморије за алате за анализу да их обрађују. Међутим, анализатор манифеста је дизајниран да занемари просторе имена, па стога обрађује датотеку без икаквих грешака.

СоумниБот циља осетљиве податке на оштећеним Андроид уређајима

Након што се активира, СоумниБот преузима своје конфигурационе податке са унапред подешене адресе сервера да би преузео сервере који се користе за пренос прикупљених података и пријем команди преко МКТТ протокола за размену порука.

Програмиран је да активира небезбедну услугу која се поново покреће сваких 16 минута у случају прекида, обезбеђујући континуирани рад док се информације учитавају сваких 15 секунди. Ови подаци обухватају метаподатке уређаја, листе контаката, СМС поруке, фотографије, видео записе и списак инсталираних апликација.

Поред тога, злонамерни софтвер поседује функције, као што су додавање и уклањање контаката, слање СМС порука, укључивање тихог режима и активирање Андроид режима за отклањање грешака. Штавише, може да сакрије своју икону апликације, повећавајући отпорност на деинсталацију са уређаја.

Значајан атрибут СоумниБот-а је његова способност да скенира екстерне медије за складиштење у потрази за .кеи и .дер датотекама које садрже путање до '/НПКИ/иессигн', што одговара услузи сертификата дигиталног потписа коју пружа Јужна Кореја за владино (ГПКИ), банкарство и сврхе онлајн берзе (НПКИ).

Ове датотеке представљају дигиталне сертификате које корејске банке издају својим клијентима, који се користе за пријављивање на платформе за онлине банкарство или верификацију банкарских трансакција. Ова техника је релативно неуобичајена међу злонамерним софтвером за Андроид банкарство.