SoumniBot Mobile Malware
SoumniBot adlı daha önce bilinmeyen bir Android Truva atı ortaya çıktı ve aktif olarak Güney Kore'deki kullanıcıları hedefliyor. Bildirim çıkarma ve ayrıştırma sürecindeki güvenlik açıklarından yararlanır. Bu kötü amaçlı yazılımı diğerlerinden ayıran şey, öncelikle Android manifest dosyasının gizlenmesi yoluyla tespit ve analizden kaçınmaya yönelik benzersiz stratejisidir.
Her Android uygulamasına, kök dizinde yer alan "AndroidManifest.xml" adlı bir bildirim XML dosyası eşlik eder. Bu dosya, uygulamanın bileşenlerini, izinlerini ve gerekli donanım ve yazılım özelliklerini özetlemektedir.
Tehdit avcılarının genellikle uygulamanın işlevselliğini tespit etmek için analizlerini uygulamanın bildirim dosyasını inceleyerek başlattıkları anlaşıldığından, kötü amaçlı yazılımdan sorumlu kötü niyetli aktörlerin, bu süreci önemli ölçüde karmaşıklaştırmak için üç farklı teknik kullandıkları gözlemlendi.
SoumniBot Mobil Kötü Amaçlı Yazılım, Algılanmayı Önlemek İçin Yeni Önlemler Alıyor
İlk yaklaşım, libziparchive kütüphanesini kullanarak APK'nin bildirim dosyasının paketinin açılması sırasında Sıkıştırma yöntemi değerinin değiştirilmesini içerir. Bu yöntem, kitaplığın 0x0000 veya 0x0008 dışındaki herhangi bir değeri sıkıştırılmamış olarak kabul eden davranışından yararlanarak geliştiricilerin 8 dışında herhangi bir değer eklemesine ve sıkıştırılmamış veriler yazmasına olanak tanır.
Uygun sıkıştırma yöntemi doğrulamasına sahip paket açıcıları tarafından geçersiz sayılmasına rağmen, Android APK ayrıştırıcısı bu tür bildirimleri doğru bir şekilde yorumlayarak uygulamanın kurulumuna izin verir. Bu tekniğin, Nisan 2023'ten bu yana çeşitli Android bankacılık Truva atlarıyla bağlantılı tehdit aktörleri tarafından benimsenmesi dikkat çekicidir.
İkinci olarak SoumniBot, arşivlenmiş manifest dosyası boyutunu üreterek gerçek boyutu aşan bir değer sunar. Sonuç olarak, 'sıkıştırılmamış' dosya, manifest ayrıştırıcının fazla 'yer paylaşımı' verilerini göz ardı etmesiyle doğrudan kopyalanır. Daha katı bildirim ayrıştırıcıları bu tür dosyaları yorumlamakta başarısız olsa da, Android ayrıştırıcısı kusurlu bildirimi hatalarla karşılaşmadan işler.
Son taktik, bildirim dosyası içinde uzun XML ad alanı adlarının kullanılmasını içerir; bu da analiz araçlarının bunları işlemesi için yeterli belleğin ayrılmasını zorlaştırır. Ancak bildirim ayrıştırıcısı, ad alanlarını göz ardı edecek şekilde tasarlanmıştır, dolayısıyla dosyayı herhangi bir hata oluşturmadan işler.
SoumniBot, İhlal Edilen Android Cihazlardaki Hassas Verileri Hedefliyor
Etkinleştirildikten sonra SoumniBot, MQTT mesajlaşma protokolü aracılığıyla toplanan verileri iletmek ve komutları almak için kullanılan sunucuları elde etmek için önceden belirlenmiş bir sunucu adresinden yapılandırma verilerini alır.
Fesih durumunda 16 dakikada bir yeniden başlayan, güvenli olmayan bir hizmeti devreye sokacak şekilde programlanmış olup, 15 saniyede bir bilgi yüklerken sürekli çalışmayı sağlar. Bu veriler cihaz meta verilerini, kişi listelerini, SMS mesajlarını, fotoğrafları, videoları ve yüklü uygulamaların listesini kapsar.
Ayrıca kötü amaçlı yazılımın kişi ekleme ve kaldırma, SMS mesajları gönderme, sessiz moda geçiş yapma ve Android'in hata ayıklama modunu etkinleştirme gibi işlevleri de bulunuyor. Ayrıca uygulama simgesini gizleyerek cihazdan kaldırılmaya karşı direncini artırır.
SoumniBot'un dikkate değer bir özelliği, Güney Kore tarafından devlet (GPKI), bankacılık için sağlanan dijital imza sertifika hizmetine karşılık gelen '/NPKI/yessign'a giden yolları içeren .key ve .der dosyaları için harici depolama ortamını tarama yeteneğidir. ve çevrimiçi borsa (NPKI) amaçları.
Bu dosyalar, Kore bankaları tarafından müşterilerine verilen ve çevrimiçi bankacılık platformlarına giriş yapmak veya bankacılık işlemlerini doğrulamak için kullanılan dijital sertifikaları temsil ediyor. Bu teknik, Android bankacılık kötü amaçlı yazılımları arasında nispeten nadirdir.
