SoumniBot মোবাইল ম্যালওয়্যার
একটি পূর্বে অজানা Android Trojan ডাব SoumniBot আবির্ভূত হয়েছে এবং সক্রিয়ভাবে দক্ষিণ কোরিয়ার ব্যবহারকারীদের লক্ষ্য করছে। এটি ম্যানিফেস্ট নিষ্কাশন এবং পার্সিং প্রক্রিয়ার মধ্যে দুর্বলতাগুলিকে কাজে লাগায়৷ যা এই ম্যালওয়্যারটিকে আলাদা করে তা হল সনাক্তকরণ এবং বিশ্লেষণ এড়াতে এর অনন্য কৌশল, প্রাথমিকভাবে অ্যান্ড্রয়েড ম্যানিফেস্ট ফাইলের অস্পষ্টতার মাধ্যমে।
প্রতিটি অ্যান্ড্রয়েড অ্যাপ্লিকেশনের সাথে রুট ডিরেক্টরিতে অবস্থিত "AndroidManifest.xml" নামে একটি ম্যানিফেস্ট XML ফাইল থাকে৷ এই ফাইলটি অ্যাপ্লিকেশনের উপাদান, অনুমতি এবং প্রয়োজনীয় হার্ডওয়্যার এবং সফ্টওয়্যার বৈশিষ্ট্যগুলির রূপরেখা দেয়৷
এটি বুঝতে পেরে যে হুমকি শিকারীরা সাধারণত অ্যাপ্লিকেশনটির কার্যকারিতা নিশ্চিত করার জন্য ম্যানিফেস্ট ফাইলটি পরীক্ষা করে তাদের বিশ্লেষণ শুরু করে, ম্যালওয়্যারের জন্য দায়ী দূষিত অভিনেতারা এই প্রক্রিয়াটিকে উল্লেখযোগ্যভাবে জটিল করার জন্য তিনটি স্বতন্ত্র কৌশল ব্যবহার করে লক্ষ্য করা গেছে।
SoumniBot মোবাইল ম্যালওয়্যার সনাক্তকরণ এড়াতে অভিনব ব্যবস্থা নেয়
প্রাথমিক পদ্ধতিতে লিবজিপার্চাইভ লাইব্রেরি ব্যবহার করে APK-এর ম্যানিফেস্ট ফাইল আনপ্যাক করার সময় কম্প্রেশন পদ্ধতির মান ম্যানিপুলেট করা জড়িত। এই পদ্ধতিটি লাইব্রেরির আচরণকে কাজে লাগায়, যা 0x0000 বা 0x0008 ব্যতীত অন্য যেকোন মানকে কম্প্রেসড হিসাবে বিবেচনা করে, যা ডেভেলপারদেরকে 8 ছাড়া যেকোন মান সন্নিবেশ করতে এবং অসংকুচিত ডেটা লিখতে দেয়।
যথাযথ কম্প্রেশন পদ্ধতির বৈধতা সহ আনপ্যাকারদের দ্বারা অবৈধ বলে গণ্য হওয়া সত্ত্বেও, Android APK পার্সার সঠিকভাবে এই ধরনের ম্যানিফেস্টগুলিকে ব্যাখ্যা করে, অ্যাপ্লিকেশনটির ইনস্টলেশনের অনুমতি দেয়৷ উল্লেখযোগ্যভাবে, এই কৌশলটি এপ্রিল 2023 সাল থেকে বিভিন্ন অ্যান্ড্রয়েড ব্যাঙ্কিং ট্রোজানের সাথে যুক্ত হুমকি অভিনেতারা গ্রহণ করেছে।
দ্বিতীয়ত, SoumniBot আর্কাইভ করা ম্যানিফেস্ট ফাইলের আকার তৈরি করে, প্রকৃত আকারের চেয়ে বেশি মান উপস্থাপন করে। ফলস্বরূপ, 'অসংকুচিত' ফাইলটি সরাসরি অনুলিপি করা হয়, ম্যানিফেস্ট পার্সার উদ্বৃত্ত 'ওভারলে' ডেটা উপেক্ষা করে। যদিও কঠোর ম্যানিফেস্ট পার্সাররা এই ধরনের ফাইলগুলিকে ব্যাখ্যা করতে ব্যর্থ হবে, অ্যান্ড্রয়েড পার্সার ত্রুটির সম্মুখীন না হয়েই ত্রুটিপূর্ণ ম্যানিফেস্ট পরিচালনা করে।
চূড়ান্ত কৌশলটি ম্যানিফেস্ট ফাইলের মধ্যে দীর্ঘ XML নেমস্পেস নাম নিয়োগ করে, বিশ্লেষণের সরঞ্জামগুলির প্রক্রিয়া করার জন্য পর্যাপ্ত মেমরির বরাদ্দকে জটিল করে তোলে। যাইহোক, ম্যানিফেস্ট পার্সারটি নেমস্পেসকে উপেক্ষা করার জন্য ডিজাইন করা হয়েছে, তাই কোনো ত্রুটি না তুলেই ফাইলটি প্রসেস করা হচ্ছে।
SoumniBot লঙ্ঘন করা Android ডিভাইসগুলিতে সংবেদনশীল ডেটা লক্ষ্য করে৷
সক্রিয় হওয়ার পর, SoumniBot সংগৃহীত ডেটা প্রেরণ এবং MQTT মেসেজিং প্রোটোকলের মাধ্যমে কমান্ড গ্রহণের জন্য ব্যবহৃত সার্ভারগুলি অর্জন করতে একটি পূর্ব-সেট সার্ভার ঠিকানা থেকে তার কনফিগারেশন ডেটা পুনরুদ্ধার করে।
এটি একটি অনিরাপদ পরিষেবা সক্রিয় করার জন্য প্রোগ্রাম করা হয়েছে যা বন্ধ হওয়ার ক্ষেত্রে প্রতি 16 মিনিটে পুনরায় চালু হয়, প্রতি 15 সেকেন্ডে তথ্য আপলোড করার সময় অবিচ্ছিন্ন অপারেশন নিশ্চিত করে। এই ডেটা ডিভাইসের মেটাডেটা, যোগাযোগের তালিকা, এসএমএস বার্তা, ফটো, ভিডিও এবং ইনস্টল করা অ্যাপ্লিকেশনগুলির একটি তালিকা অন্তর্ভুক্ত করে।
উপরন্তু, ম্যালওয়্যারটির কার্যকারিতা রয়েছে, যেমন পরিচিতি যোগ করা এবং সরানো, এসএমএস বার্তা পাঠানো, সাইলেন্ট মোড টগল করা এবং অ্যান্ড্রয়েডের ডিবাগ মোড সক্রিয় করা। উপরন্তু, এটি তার অ্যাপ্লিকেশন আইকন লুকিয়ে রাখতে পারে, ডিভাইস থেকে আনইনস্টল করার প্রতিরোধ বাড়াতে পারে।
SoumniBot-এর একটি উল্লেখযোগ্য বৈশিষ্ট্য হল '/NPKI/yessign'-এর দিকে যাওয়ার পথ সম্বলিত .key এবং .der ফাইলগুলির জন্য বাহ্যিক স্টোরেজ মিডিয়া স্ক্যান করার ক্ষমতা, যা দক্ষিণ কোরিয়া সরকারী (GPKI), ব্যাঙ্কিংয়ের জন্য প্রদত্ত ডিজিটাল স্বাক্ষর শংসাপত্র পরিষেবার সাথে সামঞ্জস্যপূর্ণ। এবং অনলাইন স্টক এক্সচেঞ্জ (NPKI) উদ্দেশ্যে।
এই ফাইলগুলি কোরিয়ান ব্যাঙ্কগুলি তাদের গ্রাহকদের কাছে জারি করা ডিজিটাল শংসাপত্রগুলিকে উপস্থাপন করে, যা অনলাইন ব্যাঙ্কিং প্ল্যাটফর্মগুলিতে লগ ইন করার জন্য বা ব্যাঙ্কিং লেনদেন যাচাই করার জন্য ব্যবহার করা হয়। এই কৌশলটি অ্যান্ড্রয়েড ব্যাঙ্কিং ম্যালওয়্যারের মধ্যে তুলনামূলকভাবে অস্বাভাবিক।
