Malware mobile SoumniBot

È emerso un trojan Android precedentemente sconosciuto denominato SoumniBot che prende di mira attivamente gli utenti della Corea del Sud. Sfrutta le vulnerabilità all'interno del processo di estrazione e analisi dei manifest. Ciò che distingue questo malware è la sua strategia unica per evitare il rilevamento e l'analisi, principalmente attraverso l'offuscamento del file manifest di Android.

Ogni applicazione Android è accompagnata da un file XML manifest denominato "AndroidManifest.xml", situato nella directory principale. Questo file descrive i componenti dell'applicazione, le autorizzazioni e le funzionalità hardware e software necessarie.

Comprendendo che i cacciatori di minacce generalmente iniziano la loro analisi esaminando il file manifest dell'applicazione per accertarne la funzionalità, è stato osservato che gli autori malintenzionati responsabili del malware utilizzano tre tecniche distinte per complicare significativamente questo processo.

Il malware mobile SoumniBot adotta nuove misure per evitare il rilevamento

L'approccio iniziale prevede la manipolazione del valore del metodo Compression durante la decompressione del file manifest dell'APK utilizzando la libreria libziparchive. Questo metodo sfrutta il comportamento della libreria, che considera qualsiasi valore diverso da 0x0000 o 0x0008 come non compresso, consentendo agli sviluppatori di inserire qualsiasi valore tranne 8 e scrivere dati non compressi.

Nonostante sia ritenuto non valido dagli unpacker con un'adeguata convalida del metodo di compressione, il parser APK di Android interpreta correttamente tali manifest, consentendo l'installazione dell'applicazione. In particolare, questa tecnica è stata adottata da autori di minacce associati a vari trojan bancari Android a partire dall’aprile 2023.

In secondo luogo, SoumniBot fabbrica la dimensione del file manifest archiviato, presentando un valore superiore alla dimensione effettiva. Di conseguenza, il file "non compresso" viene copiato direttamente, con il parser manifest che ignora i dati "sovrapposti" in eccesso. Mentre i parser manifest più rigidi non riuscirebbero a interpretare tali file, il parser Android gestisce il manifest difettoso senza riscontrare errori.

La tattica finale prevede l'utilizzo di nomi lunghi di spazi dei nomi XML all'interno del file manifest, complicando l'allocazione di memoria sufficiente affinché gli strumenti di analisi possano elaborarli. Tuttavia, il parser manifest è progettato per ignorare gli spazi dei nomi, quindi elabora il file senza generare errori.

SoumniBot prende di mira i dati sensibili sui dispositivi Android violati

Dopo essere stato attivato, SoumniBot recupera i dati di configurazione da un indirizzo server preimpostato per acquisire i server utilizzati per trasmettere i dati raccolti e ricevere comandi attraverso il protocollo di messaggistica MQTT.

È programmato per attivare un servizio non sicuro che si riavvia ogni 16 minuti in caso di terminazione, garantendo un funzionamento continuo durante il caricamento delle informazioni ogni 15 secondi. Questi dati comprendono metadati del dispositivo, elenchi di contatti, messaggi SMS, foto, video e un elenco di applicazioni installate.

Inoltre, il malware possiede funzionalità come l'aggiunta e la rimozione di contatti, l'invio di messaggi SMS, la commutazione della modalità silenziosa e l'attivazione della modalità debug di Android. Inoltre, può nascondere l'icona dell'applicazione, migliorandone la resistenza alla disinstallazione dal dispositivo.

Un attributo notevole di SoumniBot è la sua capacità di scansionare supporti di archiviazione esterni per file .key e .der contenenti percorsi che portano a "/NPKI/yessign", che corrisponde al servizio di certificato di firma digitale fornito dalla Corea del Sud per scopi governativi (GPKI), bancari e finalità della borsa valori online (NPKI).

Questi file rappresentano certificati digitali emessi dalle banche coreane ai propri clienti, utilizzati per accedere a piattaforme bancarie online o verificare transazioni bancarie. Questa tecnica è relativamente rara tra i malware bancari Android.