SoumniBot mobil skadlig programvara

En tidigare okänd Android-trojan kallad SoumniBot har dykt upp och riktar sig aktivt mot användare i Sydkorea. Den utnyttjar sårbarheter inom den manifesta extraheringen och analysprocessen. Det som skiljer denna skadliga programvara åt är dess unika strategi för att undvika upptäckt och analys, främst genom förvirring av Android-manifestfilen.

Varje Android-applikation åtföljs av en manifest XML-fil med namnet "AndroidManifest.xml", som finns i rotkatalogen. Den här filen beskriver programmets komponenter, behörigheter och nödvändiga maskin- och mjukvarufunktioner.

Genom att förstå att hotjägare vanligtvis initierar sin analys genom att undersöka programmets manifestfil för att försäkra sig om dess funktionalitet, har de illvilliga aktörerna som är ansvariga för skadlig programvara observerats använda tre distinkta tekniker för att komplicera denna process avsevärt.

SoumniBot Mobile Malware vidtar nya åtgärder för att undvika upptäckt

Det initiala tillvägagångssättet involverar att manipulera komprimeringsmetodens värde under uppackningen av APK:s manifestfil med hjälp av biblioteket libziparchive. Den här metoden utnyttjar bibliotekets beteende, som betraktar alla andra värden än 0x0000 eller 0x0008 som okomprimerade, vilket gör att utvecklare kan infoga vilket värde som helst förutom 8 och skriva okomprimerad data.

Trots att den anses ogiltig av uppackare med korrekt validering av komprimeringsmetod, tolkar Android APK-parsern korrekt sådana manifest, vilket tillåter installation av applikationen. Den här tekniken har använts av hotaktörer associerade med olika Android-banktrojaner sedan april 2023.

För det andra tillverkar SoumniBot den arkiverade manifestfilens storlek och presenterar ett värde som överstiger den faktiska storleken. Följaktligen kopieras den "okomprimerade" filen direkt, med manifest-parsern bortser från överskottsdata för "överlagring". Även om strängare manifesttolkare inte skulle kunna tolka sådana filer, hanterar Android-parsern det felaktiga manifestet utan att stöta på fel.

Den sista taktiken innebär att man använder långa XML-namnområdesnamn i manifestfilen, vilket komplicerar allokeringen av tillräckligt med minne för analysverktyg att bearbeta dem. Manifestparsern är dock utformad för att bortse från namnutrymmen, och bearbetar därför filen utan att skapa några fel.

SoumniBot riktar in sig på känsliga data på intrångade Android-enheter

Efter att ha aktiverats hämtar SoumniBot sin konfigurationsdata från en förinställd serveradress för att hämta de servrar som används för att överföra insamlad data och ta emot kommandon genom MQTT-meddelandeprotokollet.

Den är programmerad att aktivera en osäker tjänst som startar om var 16:e minut vid uppsägning, vilket säkerställer kontinuerlig drift samtidigt som information laddas upp var 15:e sekund. Dessa data omfattar enhetens metadata, kontaktlistor, SMS-meddelanden, foton, videor och en lista över installerade applikationer.

Dessutom har skadlig programvara funktioner, som att lägga till och ta bort kontakter, skicka SMS, växla tyst läge och aktivera Androids felsökningsläge. Dessutom kan den dölja sin applikationsikon, vilket ökar dess motståndskraft mot avinstallation från enheten.

En anmärkningsvärd egenskap hos SoumniBot är dess förmåga att skanna externa lagringsmedia efter .key- och .der-filer som innehåller sökvägar som leder till '/NPKI/yessign', vilket motsvarar den digitala signaturcertifikattjänst som tillhandahålls av Sydkorea för statliga (GPKI), banker och onlinebörs (NPKI) ändamål.

Dessa filer representerar digitala certifikat utfärdade av koreanska banker till sina kunder, som används för att logga in på onlinebankplattformar eller verifiera banktransaktioner. Denna teknik är relativt ovanlig bland skadlig programvara för Android-banktjänster.