SoumniBot మొబైల్ మాల్వేర్
సౌమ్నిబాట్ అని పిలువబడే మునుపు తెలియని Android ట్రోజన్ ఉద్భవించింది మరియు దక్షిణ కొరియాలోని వినియోగదారులను చురుకుగా లక్ష్యంగా చేసుకుంటోంది. ఇది మానిఫెస్ట్ వెలికితీత మరియు అన్వయించే ప్రక్రియలోని దుర్బలత్వాలను ఉపయోగించుకుంటుంది. ప్రధానంగా ఆండ్రాయిడ్ మానిఫెస్ట్ ఫైల్ను అస్పష్టం చేయడం ద్వారా గుర్తించడం మరియు విశ్లేషణను నివారించే దాని ప్రత్యేక వ్యూహం ఈ మాల్వేర్ను వేరు చేస్తుంది.
ప్రతి Android అప్లికేషన్ రూట్ డైరెక్టరీలో ఉన్న "AndroidManifest.xml" అనే మానిఫెస్ట్ XML ఫైల్తో కలిసి ఉంటుంది. ఈ ఫైల్ అప్లికేషన్ యొక్క భాగాలు, అనుమతులు మరియు అవసరమైన హార్డ్వేర్ మరియు సాఫ్ట్వేర్ లక్షణాలను వివరిస్తుంది.
బెదిరింపు వేటగాళ్ళు సాధారణంగా అప్లికేషన్ యొక్క మానిఫెస్ట్ ఫైల్ని దాని కార్యాచరణను నిర్ధారించడం ద్వారా వారి విశ్లేషణను ప్రారంభిస్తారని అర్థం చేసుకోవడం, మాల్వేర్కు బాధ్యత వహించే హానికరమైన నటులు ఈ ప్రక్రియను గణనీయంగా క్లిష్టతరం చేయడానికి మూడు విభిన్న పద్ధతులను ఉపయోగించడం గమనించబడింది.
SoumniBot మొబైల్ మాల్వేర్ గుర్తింపును నివారించడానికి కొత్త చర్యలు తీసుకుంటుంది
ప్రారంభ విధానంలో లిబ్జిపార్చివ్ లైబ్రరీని ఉపయోగించి APK యొక్క మానిఫెస్ట్ ఫైల్ను అన్ప్యాక్ చేసే సమయంలో కంప్రెషన్ పద్ధతి విలువను మార్చడం ఉంటుంది. ఈ పద్ధతి లైబ్రరీ యొక్క ప్రవర్తనను దోపిడీ చేస్తుంది, ఇది 0x0000 లేదా 0x0008 కాకుండా ఏదైనా ఇతర విలువను కంప్రెస్డ్గా పరిగణిస్తుంది, డెవలపర్లు 8 తప్ప మరేదైనా విలువను చొప్పించడానికి మరియు కంప్రెస్ చేయని డేటాను వ్రాయడానికి అనుమతిస్తుంది.
సరైన కంప్రెషన్ పద్ధతి ధ్రువీకరణతో అన్ప్యాకర్లచే చెల్లనిదిగా పరిగణించబడినప్పటికీ, Android APK పార్సర్ అటువంటి మానిఫెస్ట్లను సరిగ్గా అన్వయిస్తుంది, అప్లికేషన్ యొక్క ఇన్స్టాలేషన్ను అనుమతిస్తుంది. ముఖ్యంగా, ఈ టెక్నిక్ని ఏప్రిల్ 2023 నుండి వివిధ ఆండ్రాయిడ్ బ్యాంకింగ్ ట్రోజన్లతో అనుబంధించిన ముప్పు నటులు అవలంబించారు.
రెండవది, సౌమ్నిబాట్ ఆర్కైవ్ చేయబడిన మానిఫెస్ట్ ఫైల్ పరిమాణాన్ని రూపొందించి, వాస్తవ పరిమాణాన్ని మించిన విలువను ప్రదర్శిస్తుంది. తత్ఫలితంగా, 'అన్కంప్రెస్డ్' ఫైల్ నేరుగా కాపీ చేయబడుతుంది, మానిఫెస్ట్ పార్సర్ మిగులు 'ఓవర్లే' డేటాను విస్మరిస్తుంది. కఠినమైన మానిఫెస్ట్ పార్సర్లు అటువంటి ఫైల్లను అర్థం చేసుకోవడంలో విఫలమైనప్పటికీ, ఆండ్రాయిడ్ పార్సర్ లోపభూయిష్ట మానిఫెస్ట్ను లోపాలను ఎదుర్కోకుండా నిర్వహిస్తుంది.
చివరి వ్యూహం మానిఫెస్ట్ ఫైల్లో సుదీర్ఘమైన XML నేమ్స్పేస్ పేర్లను ఉపయోగించడం, వాటిని ప్రాసెస్ చేయడానికి విశ్లేషణ సాధనాల కోసం తగినంత మెమరీ కేటాయింపును క్లిష్టతరం చేయడం. ఏదేమైనప్పటికీ, మానిఫెస్ట్ పార్సర్ నేమ్స్పేస్లను విస్మరించడానికి రూపొందించబడింది, అందువల్ల ఫైల్ను ఎటువంటి లోపాలు లేకుండా ప్రాసెస్ చేస్తుంది.
SoumniBot ఉల్లంఘించిన Android పరికరాలపై సున్నితమైన డేటాను లక్ష్యంగా చేసుకుంటుంది
సక్రియం చేయబడిన తర్వాత, సేకరించిన డేటాను ప్రసారం చేయడానికి మరియు MQTT మెసేజింగ్ ప్రోటోకాల్ ద్వారా ఆదేశాలను స్వీకరించడానికి ఉపయోగించే సర్వర్లను పొందేందుకు SoumniBot దాని కాన్ఫిగరేషన్ డేటాను ముందుగా సెట్ చేసిన సర్వర్ చిరునామా నుండి తిరిగి పొందుతుంది.
ఇది అసురక్షిత సేవను సక్రియం చేయడానికి ప్రోగ్రామ్ చేయబడింది, ఇది రద్దు చేయబడినప్పుడు ప్రతి 16 నిమిషాలకు పునఃప్రారంభించబడుతుంది, ప్రతి 15 సెకన్లకు సమాచారాన్ని అప్లోడ్ చేస్తున్నప్పుడు నిరంతర ఆపరేషన్ను నిర్ధారిస్తుంది. ఈ డేటా పరికర మెటాడేటా, సంప్రదింపు జాబితాలు, SMS సందేశాలు, ఫోటోలు, వీడియోలు మరియు ఇన్స్టాల్ చేసిన అప్లికేషన్ల జాబితాను కలిగి ఉంటుంది.
అదనంగా, మాల్వేర్ పరిచయాలను జోడించడం మరియు తీసివేయడం, SMS సందేశాలను పంపడం, నిశ్శబ్ద మోడ్ను టోగుల్ చేయడం మరియు Android డీబగ్ మోడ్ను సక్రియం చేయడం వంటి కార్యాచరణలను కలిగి ఉంటుంది. ఇంకా, ఇది పరికరం నుండి అన్ఇన్స్టాలేషన్కు దాని ప్రతిఘటనను మెరుగుపరుస్తుంది, దాని అప్లికేషన్ చిహ్నాన్ని దాచగలదు.
సౌమ్నిబాట్ యొక్క గుర్తించదగిన లక్షణం ఏమిటంటే, '/NPKI/yessign'కి దారితీసే మార్గాలను కలిగి ఉన్న .key మరియు .der ఫైల్ల కోసం బాహ్య నిల్వ మాధ్యమాన్ని స్కాన్ చేయగల సామర్థ్యం, ఇది ప్రభుత్వ (GPKI), బ్యాంకింగ్ కోసం దక్షిణ కొరియా అందించిన డిజిటల్ సంతకం సర్టిఫికేట్ సేవకు అనుగుణంగా ఉంటుంది. మరియు ఆన్లైన్ స్టాక్ ఎక్స్ఛేంజ్ (NPKI) ప్రయోజనాల కోసం.
ఈ ఫైల్లు ఆన్లైన్ బ్యాంకింగ్ ప్లాట్ఫారమ్లలోకి లాగిన్ చేయడానికి లేదా బ్యాంకింగ్ లావాదేవీలను ధృవీకరించడానికి ఉపయోగించే కొరియన్ బ్యాంకులు తమ కస్టమర్లకు జారీ చేసిన డిజిటల్ సర్టిఫికేట్లను సూచిస్తాయి. ఆండ్రాయిడ్ బ్యాంకింగ్ మాల్వేర్లలో ఈ టెక్నిక్ చాలా అసాధారణం.