SoumniBot Mobile Malware

Ang isang dating hindi kilalang Android Trojan na tinatawag na SoumniBot ay lumitaw at aktibong nagta-target ng mga user sa South Korea. Sinasamantala nito ang mga kahinaan sa loob ng proseso ng manifest extraction at pag-parse. Ang pinagkaiba ng malware na ito ay ang natatanging diskarte nito upang maiwasan ang pagtuklas at pagsusuri, pangunahin sa pamamagitan ng pag-obfuscation ng Android manifest file.

Ang bawat Android application ay sinamahan ng isang manifest XML file na pinangalanang "AndroidManifest.xml," na matatagpuan sa root directory. Binabalangkas ng file na ito ang mga bahagi ng application, mga pahintulot, at mga kinakailangang tampok ng hardware at software.

Ang pag-unawa na ang mga mangangaso ng pagbabanta ay karaniwang nagpapasimula ng kanilang pagsusuri sa pamamagitan ng pagsusuri sa manifest file ng application upang tiyakin ang pagpapagana nito, ang mga malisyosong aktor na responsable para sa malware ay naobserbahang gumagamit ng tatlong natatanging mga diskarte upang lubos na gawing kumplikado ang prosesong ito.

Ang SoumniBot Mobile Malware ay Gumagawa ng Mga Bagong Panukala upang Iwasan ang Detection

Kasama sa paunang diskarte ang pagmamanipula sa value ng Compression method sa panahon ng pag-unpack ng manifest file ng APK gamit ang libziparchive library. Sinasamantala ng pamamaraang ito ang pag-uugali ng library, na isinasaalang-alang ang anumang halaga maliban sa 0x0000 o 0x0008 bilang hindi naka-compress, na nagpapahintulot sa mga developer na magpasok ng anumang halaga maliban sa 8 at magsulat ng hindi naka-compress na data.

Sa kabila ng pagiging invalid ng mga unpackers na may wastong compression method validation, wastong binibigyang-kahulugan ng Android APK parser ang mga naturang manifest, na nagpapahintulot sa pag-install ng application. Kapansin-pansin, ang diskarteng ito ay pinagtibay ng mga aktor ng pagbabanta na nauugnay sa iba't ibang Android banking Trojans mula noong Abril 2023.

Pangalawa, ginagawa ng SoumniBot ang naka-archive na laki ng manifest file, na nagpapakita ng halaga na lampas sa aktwal na laki. Dahil dito, ang 'uncompressed' na file ay direktang kinopya, kung saan ang manifest parser ay hindi isinasaalang-alang ang sobrang 'overlay' na data. Bagama't hindi mabibigyang-kahulugan ng mga mas mahigpit na manifest parser ang mga naturang file, pinangangasiwaan ng Android parser ang flawed manifest nang hindi nakakaranas ng mga error.

Kasama sa huling taktika ang paggamit ng mahahabang pangalan ng XML namespace sa loob ng manifest file, na nagpapakumplikado sa paglalaan ng sapat na memorya para sa mga tool sa pagsusuri upang maproseso ang mga ito. Gayunpaman, ang manifest parser ay idinisenyo upang balewalain ang mga namespace, kaya pinoproseso ang file nang hindi nagtataas ng anumang mga error.

Tinatarget ng SoumniBot ang Sensitibong Data sa Mga Nilabag na Android Device

Pagkatapos ma-activate, kinukuha ng SoumniBot ang configuration data nito mula sa isang pre-set na address ng server upang makuha ang mga server na ginamit para sa pagpapadala ng nakolektang data at pagtanggap ng mga command sa pamamagitan ng MQTT messaging protocol.

Naka-program ito upang i-activate ang isang hindi ligtas na serbisyo na magre-restart tuwing 16 minuto kung sakaling matigil, tinitiyak ang tuluy-tuloy na operasyon habang nag-a-upload ng impormasyon bawat 15 segundo. Ang data na ito ay sumasaklaw sa metadata ng device, mga listahan ng contact, mga mensaheng SMS, mga larawan, mga video at isang roster ng mga naka-install na application.

Bukod pa rito, ang malware ay nagtataglay ng mga functionality, tulad ng pagdaragdag at pag-alis ng mga contact, pagpapadala ng mga SMS na mensahe, pag-togg sa silent mode at pag-activate ng debug mode ng Android. Higit pa rito, maaari nitong itago ang icon ng application nito, na magpapahusay sa paglaban nito sa pag-uninstall mula sa device.

Ang isang kapansin-pansing katangian ng SoumniBot ay ang kakayahang mag-scan ng external storage media para sa mga .key at .der file na naglalaman ng mga path na humahantong sa '/NPKI/yessign,' na tumutugma sa serbisyo ng digital signature certificate na ibinigay ng South Korea para sa gobyerno (GPKI), banking at mga layunin ng online stock exchange (NPKI).

Ang mga file na ito ay kumakatawan sa mga digital na certificate na ibinigay ng mga Korean bank sa kanilang mga customer, na ginagamit para sa pag-log in sa mga online banking platform o pag-verify ng mga transaksyon sa pagbabangko. Ang diskarteng ito ay medyo hindi pangkaraniwan sa Android banking malware.