SoumniBot Mobile Malware
Раніше невідомий Android-троян під назвою SoumniBot з’явився і активно націлений на користувачів у Південній Кореї. Він використовує вразливості в процесі вилучення та аналізу маніфесту. Що вирізняє це зловмисне програмне забезпечення, так це його унікальна стратегія уникнення виявлення та аналізу, насамперед через обфускацію файлу маніфесту Android.
Кожна програма для Android супроводжується XML-файлом маніфесту під назвою «AndroidManifest.xml», розташований у кореневому каталозі. У цьому файлі описано компоненти програми, дозволи та необхідні апаратні та програмні функції.
Розуміючи, що мисливці за загрозами зазвичай починають свій аналіз із вивчення файлу маніфесту програми, щоб переконатися в її функціональності, було виявлено, що зловмисники, відповідальні за зловмисне програмне забезпечення, використовують три різні методи, щоб значно ускладнити цей процес.
Зловмисне програмне забезпечення для мобільних пристроїв SoumniBot вживає нових заходів, щоб уникнути виявлення
Початковий підхід передбачає маніпулювання значенням методу стиснення під час розпакування файлу маніфесту APK за допомогою бібліотеки libziparchive. Цей метод використовує поведінку бібліотеки, яка розглядає будь-яке значення, крім 0x0000 або 0x0008, як нестиснене, що дозволяє розробникам вставляти будь-яке значення, крім 8, і записувати нестиснуті дані.
Незважаючи на те, що розпаковувачі з належною перевіркою методу стиснення вважають його недійсним, синтаксичний аналізатор Android APK правильно інтерпретує такі маніфести, дозволяючи інсталювати програму. Примітно, що з квітня 2023 року ця техніка була використана зловмисниками, пов’язаними з різними банківськими троянами Android.
По-друге, SoumniBot створює розмір файлу архіву маніфесту, показуючи значення, що перевищує фактичний розмір. Отже, «нестиснутий» файл безпосередньо копіюється, а синтаксичний аналізатор маніфесту ігнорує зайві «накладені» дані. Хоча більш суворі аналізатори маніфесту не зможуть інтерпретувати такі файли, аналізатор Android обробляє дефектний маніфест, не виявляючи помилок.
Остання тактика передбачає використання довгих імен просторів імен XML у файлі маніфесту, що ускладнює виділення достатньої пам’яті для інструментів аналізу для їх обробки. Однак синтаксичний аналізатор маніфесту розроблений таким чином, щоб ігнорувати простори імен, отже, обробка файлу не викликає жодних помилок.
SoumniBot збирає конфіденційні дані на зламаних пристроях Android
Після активації SoumniBot отримує дані конфігурації з попередньо встановленої адреси сервера, щоб отримати сервери, які використовуються для передачі зібраних даних і отримання команд через протокол обміну повідомленнями MQTT.
Він запрограмований на активацію небезпечної служби, яка перезапускається кожні 16 хвилин у разі припинення, забезпечуючи безперервну роботу під час завантаження інформації кожні 15 секунд. Ці дані охоплюють метадані пристрою, списки контактів, SMS-повідомлення, фотографії, відео та список встановлених програм.
Крім того, зловмисне програмне забезпечення має такі функції, як додавання та видалення контактів, відправка SMS-повідомлень, перемикання беззвучного режиму та активація режиму налагодження Android. Крім того, він може приховувати піктограму програми, підвищуючи стійкість до видалення з пристрою.
Важливою властивістю SoumniBot є його здатність сканувати зовнішні носії інформації на наявність файлів .key і .der, які містять шляхи до «/NPKI/yessign», що відповідає службі сертифікатів цифрового підпису, наданій Південною Кореєю для урядових банків (GPKI). і онлайн-біржі (NPKI).
Ці файли представляють собою цифрові сертифікати, видані корейськими банками своїм клієнтам, які використовуються для входу в онлайн-банкінгові платформи або перевірки банківських операцій. Ця техніка відносно рідко зустрічається серед банківських зловмисних програм Android.
