بدافزار موبایل SoumniBot
یک تروجان اندرویدی که قبلاً ناشناخته بود با نام SoumniBot ظاهر شد و به طور فعال کاربران کره جنوبی را هدف قرار می دهد. از آسیب پذیری های موجود در فرآیند استخراج و تجزیه مانیفست سوء استفاده می کند. چیزی که این بدافزار را متمایز میکند، استراتژی منحصربهفرد آن برای جلوگیری از شناسایی و تجزیه و تحلیل، عمدتاً از طریق مبهم کردن فایل مانیفست اندروید است.
هر برنامه Android با یک فایل XML مانیفست به نام "AndroidManifest.xml" همراه است که در فهرست اصلی قرار دارد. این فایل به تشریح اجزای برنامه، مجوزها و ویژگی های سخت افزاری و نرم افزاری ضروری می پردازد.
با درک اینکه شکارچیان تهدید معمولاً تجزیه و تحلیل خود را با بررسی فایل مانیفست برنامه برای اطمینان از عملکرد آن آغاز می کنند، عوامل مخرب مسئول بدافزار مشاهده شده اند که از سه تکنیک مجزا برای پیچیده کردن این فرآیند به طور قابل توجهی استفاده می کنند.
بدافزار موبایل SoumniBot اقدامات جدیدی را برای جلوگیری از شناسایی انجام می دهد
رویکرد اولیه شامل دستکاری مقدار روش فشرده سازی در حین باز کردن بسته بندی فایل مانیفست APK با استفاده از کتابخانه libziparchive است. این روش از رفتار کتابخانه سوء استفاده می کند که هر مقداری غیر از 0x0000 یا 0x0008 را غیرفشرده در نظر می گیرد و به توسعه دهندگان این امکان را می دهد که هر مقداری به جز 8 را وارد کرده و داده های فشرده نشده بنویسند.
علیرغم اینکه توسط بازکنندههای بستهبندی با اعتبارسنجی روش فشردهسازی مناسب نامعتبر تلقی میشود، تجزیهکننده APK Android به درستی چنین مانیفستهایی را تفسیر میکند و اجازه نصب برنامه را میدهد. شایان ذکر است، این تکنیک از آوریل 2023 توسط عوامل تهدید مرتبط با تروجان های مختلف بانکداری اندروید استفاده شده است.
ثانیا، SoumniBot اندازه فایل مانیفست بایگانی شده را ایجاد می کند و مقداری بیش از اندازه واقعی ارائه می دهد. در نتیجه، فایل «غیر فشرده» مستقیماً کپی میشود و تجزیهکننده مانیفست دادههای «همپوشانی» اضافی را نادیده میگیرد. در حالی که تجزیهکنندههای مانیفست دقیقتر در تفسیر چنین فایلهایی ناکام میمانند، تجزیهکننده اندروید مانیفست معیوب را بدون برخورد با خطا مدیریت میکند.
تاکتیک نهایی شامل استفاده از نام فضای نام طولانی XML در فایل مانیفست است که تخصیص حافظه کافی برای ابزارهای تجزیه و تحلیل برای پردازش آنها را پیچیده می کند. با این حال، تجزیه کننده مانیفست به گونه ای طراحی شده است که فضاهای نام را نادیده می گیرد، بنابراین فایل را بدون ایجاد هیچ خطایی پردازش می کند.
SoumniBot دادههای حساس دستگاههای اندرویدی را هدف قرار میدهد
پس از فعالسازی، SoumniBot دادههای پیکربندی خود را از یک آدرس سرور از پیش تنظیمشده بازیابی میکند تا سرورهایی را که برای انتقال دادههای جمعآوریشده و دریافت دستورات از طریق پروتکل پیامرسانی MQTT استفاده میشوند، به دست آورد.
این برنامه به گونهای برنامهریزی شده است که یک سرویس ناامن را فعال کند که در صورت پایان هر 16 دقیقه یک بار مجدداً راهاندازی میشود و عملکرد مداوم را در حین آپلود اطلاعات هر 15 ثانیه یکبار تضمین میکند. این داده ها شامل متادیتای دستگاه، لیست مخاطبین، پیامک ها، عکس ها، ویدیوها و فهرستی از برنامه های نصب شده است.
علاوه بر این، بدافزار دارای قابلیت هایی مانند افزودن و حذف مخاطبین، ارسال پیامک، تغییر حالت خاموش و فعال کردن حالت اشکال زدایی اندروید است. علاوه بر این، می تواند نماد برنامه خود را پنهان کند و مقاومت آن را در برابر حذف نصب از دستگاه افزایش دهد.
ویژگی قابل توجه SoumniBot توانایی آن در اسکن رسانه های ذخیره سازی خارجی برای فایل های key. و .der حاوی مسیرهای منتهی به '/NPKI/yessign' است که با خدمات گواهی امضای دیجیتال ارائه شده توسط کره جنوبی برای بانک های دولتی (GPKI) مطابقت دارد. و اهداف بورس آنلاین (NPKI).
این فایلها گواهیهای دیجیتال صادر شده توسط بانکهای کرهای برای مشتریان خود را نشان میدهند که برای ورود به سیستمهای بانکی آنلاین یا تأیید تراکنشهای بانکی استفاده میشوند. این تکنیک در بین بدافزارهای بانکی اندروید نسبتاً غیر معمول است.