SoumniBot Mobile Malware

Ha sorgit un troià d'Android desconegut anteriorment anomenat SoumniBot i està orientat activament als usuaris de Corea del Sud. Explota vulnerabilitats dins del procés d'extracció i anàlisi de manifest. El que diferencia aquest programari maliciós és la seva estratègia única per evitar la detecció i l'anàlisi, principalment mitjançant l'ofuscament del fitxer de manifest d'Android.

Cada aplicació d'Android va acompanyada d'un fitxer XML de manifest anomenat "AndroidManifest.xml", situat al directori arrel. Aquest fitxer descriu els components de l'aplicació, els permisos i les funcions necessàries de maquinari i programari.

Entenent que els caçadors d'amenaces solen iniciar la seva anàlisi examinant el fitxer de manifest de l'aplicació per comprovar la seva funcionalitat, s'ha observat que els actors maliciosos responsables del programari maliciós utilitzen tres tècniques diferents per complicar significativament aquest procés.

El programari maliciós mòbil SoumniBot pren mesures noves per evitar la detecció

L'enfocament inicial consisteix a manipular el valor del mètode de compressió durant el desempaquetat del fitxer de manifest de l'APK mitjançant la biblioteca libziparchive. Aquest mètode aprofita el comportament de la biblioteca, que considera qualsevol valor que no sigui 0x0000 o 0x0008 com a no comprimit, permetent als desenvolupadors inserir qualsevol valor excepte 8 i escriure dades sense comprimir.

Tot i que els desempaquetadors el consideren invàlid amb una validació adequada del mètode de compressió, l'analitzador d'APK d'Android interpreta correctament aquests manifests, permetent la instal·lació de l'aplicació. En particular, aquesta tècnica ha estat adoptada pels actors d'amenaça associats amb diversos troians bancaris d'Android des de l'abril de 2023.

En segon lloc, SoumniBot fabrica la mida del fitxer de manifest arxivat, presentant un valor que supera la mida real. En conseqüència, el fitxer "sense comprimir" es copia directament, i l'analitzador de manifest no té en compte les dades de "superposició" excedents. Tot i que els analitzadors de manifest més estrictes no podrien interpretar aquests fitxers, l'analitzador d'Android gestiona el manifest defectuós sense trobar errors.

La tàctica final consisteix a emprar noms llargs d'espais de noms XML dins del fitxer de manifest, cosa que complica l'assignació de memòria suficient perquè les eines d'anàlisi els processin. Tanmateix, l'analitzador de manifest està dissenyat per ignorar els espais de noms, per tant processa el fitxer sense generar cap error.

SoumniBot apunta a dades sensibles en dispositius Android violats

Després d'activar-se, SoumniBot recupera les seves dades de configuració d'una adreça de servidor preestablerta per adquirir els servidors utilitzats per transmetre les dades recollides i rebre ordres mitjançant el protocol de missatgeria MQTT.

Està programat per activar un servei insegur que es reinicia cada 16 minuts en cas de terminació, assegurant un funcionament continu mentre es carrega informació cada 15 segons. Aquestes dades inclouen metadades del dispositiu, llistes de contactes, missatges SMS, fotos, vídeos i una llista d'aplicacions instal·lades.

A més, el programari maliciós té funcionalitats, com ara afegir i eliminar contactes, enviar missatges SMS, canviar el mode silenciós i activar el mode de depuració d'Android. A més, pot ocultar la seva icona d'aplicació, millorant la seva resistència a la desinstal·lació del dispositiu.

Un atribut notable de SoumniBot és la seva capacitat d'escanejar suports d'emmagatzematge externs per buscar fitxers .key i .der que contenen camins que condueixen a "/NPKI/yessign", que correspon al servei de certificat de signatura digital proporcionat per Corea del Sud per a la banca governamental (GPKI). i fins a la borsa en línia (NPKI).

Aquests fitxers representen certificats digitals emesos pels bancs coreans als seus clients, utilitzats per iniciar sessió a plataformes bancàries en línia o verificar transaccions bancàries. Aquesta tècnica és relativament poc comuna entre el programari maliciós bancari d'Android.