„SoumniBot Mobile“ kenkėjiška programa

Atsirado anksčiau nežinomas „Android“ Trojos arklys, pavadintas „SoumniBot“, ir aktyviai taikosi į vartotojus Pietų Korėjoje. Jis išnaudoja pažeidžiamumą manifesto išgavimo ir analizavimo procese. Šią kenkėjišką programą išskiria jos unikali strategija, kuria siekiama išvengti aptikimo ir analizės, visų pirma užmaskuojant „Android“ aprašo failą.

Prie kiekvienos „Android“ programos pridedamas manifesto XML failas, pavadintas „AndroidManifest.xml“, esantis šakniniame kataloge. Šiame faile aprašomi programos komponentai, leidimai ir būtinos aparatinės bei programinės įrangos funkcijos.

Suprantant, kad grėsmių ieškotojai paprastai pradeda analizę išnagrinėdami programos aprašo failą, kad įsitikintų jos funkcionalumu, kenkėjai, atsakingi už kenkėjišką programinę įrangą, buvo pastebėti naudojant tris skirtingus metodus, kurie labai apsunkina šį procesą.

„SoumniBot Mobile“ kenkėjiška programa imasi naujų priemonių, kad būtų išvengta aptikimo

Pradinis metodas apima suspaudimo metodo vertės manipuliavimą išpakuojant APK aprašo failą naudojant libziparchive biblioteką. Šis metodas išnaudoja bibliotekos elgseną, kai bet kuri kita reikšmė, išskyrus 0x0000 arba 0x0008, laikoma nesuspausta, todėl kūrėjai gali įterpti bet kokią reikšmę, išskyrus 8, ir rašyti nesuglaudintus duomenis.

Nepaisant to, kad išpakuotojai, tinkamai patvirtinę glaudinimo metodą, išpakuotojai jį laiko negaliojančiu, „Android“ APK analizatorius teisingai interpretuoja tokius aprašus ir leidžia įdiegti programą. Pažymėtina, kad šią techniką nuo 2023 m. balandžio mėn. naudoja grėsmės veikėjai, susiję su įvairiais „Android“ bankininkystės Trojos arkliais.

Antra, „SoumniBot“ sukuria archyvuoto manifesto failo dydį, pateikdamas vertę, viršijančią tikrąjį dydį. Todėl „nesuspaustas“ failas nukopijuojamas tiesiogiai, o aprašo analizatorius neatsižvelgia į perteklinius „perdangos“ duomenis. Nors griežtesni aprašo analizatoriai nesugebėtų interpretuoti tokių failų, „Android“ analizatorius tvarko klaidingą aprašą nepatirdamas klaidų.

Galutinė taktika apima ilgų XML vardų erdvės pavadinimų naudojimą manifesto faile, apsunkinant pakankamai atminties skyrimą analizės įrankiams juos apdoroti. Tačiau aprašo analizatorius sukurtas taip, kad nepaisytų vardų erdvių, todėl failas apdorojamas nesukeliant klaidų.

„SoumniBot“ taiko jautrius duomenis apie pažeistus „Android“ įrenginius

Po aktyvavimo „SoumniBot“ nuskaito savo konfigūracijos duomenis iš iš anksto nustatyto serverio adreso, kad gautų serverius, naudojamus surinktiems duomenims perduoti ir komandoms gauti naudojant MQTT pranešimų protokolą.

Jis užprogramuotas taip, kad suaktyvintų nesaugią paslaugą, kuri nutraukimo atveju vėl paleidžiama kas 16 minučių, užtikrinant nuolatinį veikimą įkeliant informaciją kas 15 sekundžių. Šie duomenys apima įrenginio metaduomenis, kontaktų sąrašus, SMS žinutes, nuotraukas, vaizdo įrašus ir įdiegtų programų sąrašą.

Be to, kenkėjiška programa turi funkcijų, tokių kaip kontaktų pridėjimas ir pašalinimas, SMS žinučių siuntimas, tylaus režimo perjungimas ir Android derinimo režimo suaktyvinimas. Be to, jis gali paslėpti savo programos piktogramą, padidindamas atsparumą pašalinimui iš įrenginio.

Svarbus „SoumniBot“ atributas yra galimybė nuskaityti išorines laikmenas .key ir .der failams, kurių keliai veda į „/NPKI/yessign“, o tai atitinka Pietų Korėjos teikiamą skaitmeninio parašo sertifikato paslaugą vyriausybinei (GPKI) bankininkystei. ir internetinės biržos (NPKI) tikslais.

Šie failai yra skaitmeniniai sertifikatai, kuriuos Korėjos bankai išduoda savo klientams, naudojami prisijungiant prie internetinės bankininkystės platformų arba tikrinant banko operacijas. Šis metodas yra gana neįprastas tarp „Android“ bankininkystės kenkėjiškų programų.