SoumniBot มัลแวร์มือถือ

โทรจัน Android ที่ไม่รู้จักก่อนหน้านี้ซึ่งมีชื่อว่า SoumniBot ได้ปรากฏตัวขึ้นและกำลังมุ่งเป้าไปที่ผู้ใช้ในเกาหลีใต้ มันหาประโยชน์จากช่องโหว่ภายในกระบวนการแยกและแยกวิเคราะห์รายการ สิ่งที่ทำให้มัลแวร์นี้แตกต่างออกไปคือกลยุทธ์ที่เป็นเอกลักษณ์เพื่อหลีกเลี่ยงการตรวจจับและการวิเคราะห์ โดยหลักๆ แล้วผ่านการทำให้ไฟล์ Manifest ของ Android สับสน

แอปพลิเคชัน Android แต่ละแอปพลิเคชันจะมาพร้อมกับไฟล์ Manifest XML ชื่อ "AndroidManifest.xml" ซึ่งอยู่ในไดเรกทอรีราก ไฟล์นี้สรุปส่วนประกอบของแอปพลิเคชัน สิทธิ์ และคุณสมบัติฮาร์ดแวร์และซอฟต์แวร์ที่จำเป็น

ด้วยความเข้าใจว่านักล่าภัยคุกคามมักจะเริ่มการวิเคราะห์โดยการตรวจสอบไฟล์ Manifest ของแอปพลิเคชันเพื่อยืนยันการทำงานของมัน จึงมีการสังเกตพบผู้ประสงค์ร้ายที่รับผิดชอบต่อมัลแวร์โดยใช้เทคนิคที่แตกต่างกันสามประการเพื่อทำให้กระบวนการนี้ซับซ้อนขึ้นอย่างมาก

มัลแวร์มือถือ SoumniBot ใช้มาตรการใหม่เพื่อหลีกเลี่ยงการตรวจจับ

วิธีการเริ่มต้นเกี่ยวข้องกับการจัดการกับค่าวิธีการบีบอัดระหว่างการแตกไฟล์ Manifest ของ APK โดยใช้ไลบรารี libziparchive วิธีการนี้ใช้ประโยชน์จากพฤติกรรมของไลบรารี ซึ่งถือว่าค่าใดๆ ก็ตามที่ไม่ใช่ 0x0000 หรือ 0x0008 เป็นแบบไม่มีการบีบอัด ทำให้นักพัฒนาสามารถแทรกค่าใดๆ ก็ได้ยกเว้น 8 และเขียนข้อมูลที่ไม่มีการบีบอัด

แม้ว่าผู้คลายแพ็กจะถือว่าไม่ถูกต้องโดยการตรวจสอบความถูกต้องของวิธีการบีบอัด แต่ตัวแยกวิเคราะห์ APK ของ Android จะตีความไฟล์ Manifest ดังกล่าวได้อย่างถูกต้อง ส่งผลให้สามารถติดตั้งแอปพลิเคชันได้ โดยเฉพาะอย่างยิ่ง เทคนิคนี้ถูกนำมาใช้โดยผู้คุกคามที่เกี่ยวข้องกับโทรจันธนาคาร Android ต่างๆ ตั้งแต่เดือนเมษายน 2023

ประการที่สอง SoumniBot ประดิษฐ์ขนาดไฟล์รายการที่เก็บถาวร โดยนำเสนอค่าที่เกินขนาดจริง ด้วยเหตุนี้ ไฟล์ 'ที่ไม่บีบอัด' จะถูกคัดลอกโดยตรง โดยตัวแยกวิเคราะห์รายการจะไม่สนใจข้อมูล 'โอเวอร์เลย์' ส่วนเกิน แม้ว่าตัวแยกวิเคราะห์รายการที่เข้มงวดกว่าจะไม่สามารถตีความไฟล์ดังกล่าวได้ แต่ตัวแยกวิเคราะห์ของ Android จะจัดการกับรายการที่มีข้อบกพร่องโดยไม่พบข้อผิดพลาด

กลยุทธ์สุดท้ายเกี่ยวข้องกับการใช้ชื่อเนมสเปซ XML ที่มีความยาวภายในไฟล์ Manifest ซึ่งทำให้การจัดสรรหน่วยความจำเพียงพอสำหรับเครื่องมือวิเคราะห์ในการประมวลผลมีความซับซ้อน อย่างไรก็ตาม ตัวแยกวิเคราะห์รายการได้รับการออกแบบให้ไม่สนใจเนมสเปซ ดังนั้นการประมวลผลไฟล์โดยไม่ทำให้เกิดข้อผิดพลาดใดๆ

SoumniBot กำหนดเป้าหมายข้อมูลที่ละเอียดอ่อนบนอุปกรณ์ Android ที่ถูกละเมิด

หลังจากเปิดใช้งาน SoumniBot จะดึงข้อมูลการกำหนดค่าจากที่อยู่เซิร์ฟเวอร์ที่กำหนดไว้ล่วงหน้าเพื่อรับเซิร์ฟเวอร์ที่ใช้ในการส่งข้อมูลที่รวบรวมและรับคำสั่งผ่านโปรโตคอลการส่งข้อความ MQTT

ได้รับการตั้งโปรแกรมให้เปิดใช้งานบริการที่ไม่ปลอดภัยซึ่งจะรีสตาร์ททุกๆ 16 นาทีในกรณีที่มีการยุติ เพื่อให้มั่นใจว่าการทำงานจะต่อเนื่องในขณะที่อัพโหลดข้อมูลทุกๆ 15 วินาที ข้อมูลนี้ประกอบด้วยข้อมูลเมตาของอุปกรณ์ รายชื่อผู้ติดต่อ ข้อความ SMS รูปภาพ วิดีโอ และรายชื่อแอปพลิเคชันที่ติดตั้ง

นอกจากนี้ มัลแวร์ยังมีฟังก์ชันต่างๆ เช่น การเพิ่มและลบผู้ติดต่อ การส่งข้อความ SMS การสลับโหมดเงียบ และการเปิดใช้งานโหมดดีบักของ Android นอกจากนี้ยังสามารถปกปิดไอคอนแอปพลิเคชัน เพิ่มความต้านทานต่อการถอนการติดตั้งจากอุปกรณ์

คุณลักษณะเด่นของ SoumniBot คือความสามารถในการสแกนสื่อจัดเก็บข้อมูลภายนอกสำหรับไฟล์ .key และ .der ที่มีเส้นทางที่นำไปสู่ '/NPKI/yessign' ซึ่งสอดคล้องกับบริการใบรับรองลายเซ็นดิจิทัลที่จัดทำโดยเกาหลีใต้สำหรับภาครัฐ (GPKI) การธนาคาร และวัตถุประสงค์ของตลาดหลักทรัพย์ออนไลน์ (NPKI)

ไฟล์เหล่านี้แสดงถึงใบรับรองดิจิทัลที่ธนาคารเกาหลีออกให้กับลูกค้า ซึ่งใช้ในการเข้าสู่ระบบแพลตฟอร์มธนาคารออนไลน์หรือตรวจสอบธุรกรรมทางธนาคาร เทคนิคนี้ค่อนข้างพบไม่บ่อยในมัลแวร์ธนาคาร Android