SoumniBot Mobile Malware

טרויאני אנדרואיד לא ידוע בעבר בשם SoumniBot הופיע והוא מכוון באופן פעיל למשתמשים בדרום קוריאה. הוא מנצל נקודות תורפה בתהליך החילוץ והניתוח של המניפסט. מה שמייחד את התוכנה הזדונית הזו היא האסטרטגיה הייחודית שלה להימנע מגילוי וניתוח, בעיקר באמצעות ערפול של קובץ המניפסט של אנדרואיד.

כל יישום אנדרואיד מלווה בקובץ XML מניפסט בשם "AndroidManifest.xml", הממוקם בספריית הבסיס. קובץ זה מתאר את רכיבי היישום, ההרשאות ותכונות החומרה והתוכנה הדרושות.

מתוך הבנה שציידי איומים בדרך כלל יוזמים את הניתוח שלהם על ידי בחינת קובץ המניפסט של היישום כדי לוודא את הפונקציונליות שלו, השחקנים הזדוניים האחראים לתוכנה הזדונית נצפו תוך שימוש בשלוש טכניקות שונות כדי לסבך את התהליך הזה באופן משמעותי.

תוכנת הזדונית הניידת של SoumniBot נוקטת באמצעים חדשים כדי להימנע מזיהוי

הגישה הראשונית כוללת מניפולציה של ערך שיטת הדחיסה במהלך פריקת קובץ המניפסט של ה-APK באמצעות ספריית libziparchive. שיטה זו מנצלת את ההתנהגות של הספרייה, המחשיבה כל ערך מלבד 0x0000 או 0x0008 כלא דחוס, ומאפשרת למפתחים להכניס כל ערך מלבד 8 ולכתוב נתונים לא דחוסים.

למרות שהוא נחשב לא חוקי על ידי מפרקים עם אימות שיטת דחיסה נאות, מנתח ה-APK של Android מפרש נכון מניפסטים כאלה, ומאפשר את התקנת האפליקציה. יש לציין, טכניקה זו אומצה על ידי גורמי איומים הקשורים לסוסים טרויאניים בנקאיים שונים של אנדרואיד מאז אפריל 2023.

שנית, SoumniBot מייצר את גודל קובץ המניפסט הארכיון, ומציג ערך העולה על הגודל האמיתי. כתוצאה מכך, הקובץ ה'לא דחוס' מועתק ישירות, כאשר מנתח המניפסט מתעלם מעודפי נתוני 'העל'. בעוד שמנתחי מניפסטים מחמירים יותר לא יצליחו לפרש קבצים כאלה, מנתח אנדרואיד מטפל במניפסט הפגום מבלי להיתקל בשגיאות.

הטקטיקה הסופית כוללת שימוש בשמות מרחבי שמות ארוכים של XML בתוך קובץ המניפסט, מה שמקשה על הקצאת זיכרון מספיק לכלי ניתוח שיעבדו אותם. עם זאת, מנתח המניפסט נועד להתעלם ממרחבי שמות, ומכאן לעבד את הקובץ מבלי להעלות שגיאות כלשהן.

SoumniBot מכוון לנתונים רגישים על מכשירי אנדרואיד שנפרצו

לאחר הפעלתו, SoumniBot מאחזר את נתוני התצורה שלו מכתובת שרת מוגדרת מראש כדי לרכוש את השרתים המשמשים להעברת נתונים שנאספו וקבלת פקודות באמצעות פרוטוקול ההודעות MQTT.

זה מתוכנת להפעיל שירות לא בטוח המופעל מחדש כל 16 דקות במקרה של סיום, מה שמבטיח פעולה רציפה תוך העלאת מידע כל 15 שניות. נתונים אלה כוללים מטא נתונים של המכשיר, רשימות אנשי קשר, הודעות SMS, תמונות, סרטונים ורשימת יישומים מותקנים.

בנוסף, לתוכנה הזדונית יש פונקציונליות, כגון הוספה והסרה של אנשי קשר, שליחת הודעות SMS, החלפת מצב שקט והפעלת מצב ניפוי באגים של אנדרואיד. יתר על כן, הוא יכול להסתיר את סמל היישום שלו, ולשפר את ההתנגדות שלו להסרה מהמכשיר.

תכונה בולטת של SoumniBot היא היכולת שלו לסרוק מדיית אחסון חיצונית עבור קבצי .key ו-.der המכילים נתיבים המובילים ל'/NPKI/yessign', התואם לשירות אישורי החתימה הדיגיטלית שמספקת דרום קוריאה לבנקאות ממשלתית (GPKI) ומטרות בורסה מקוונת (NPKI).

קבצים אלה מייצגים אישורים דיגיטליים שהונפקו על ידי בנקים קוריאנים ללקוחותיהם, המשמשים לכניסה לפלטפורמות בנקאות מקוונות או לאימות עסקאות בנקאיות. טכניקה זו נדירה יחסית בקרב תוכנות זדוניות בנקאיות של אנדרואיד.