SoumniBot Mobile ļaunprātīga programmatūra

Ir parādījies iepriekš nezināms Android Trojas zirgs ar nosaukumu SoumniBot, un tas aktīvi mērķēts uz lietotājiem Dienvidkorejā. Tas izmanto ievainojamības manifesta iegūšanas un parsēšanas procesā. Šī ļaunprogrammatūra atšķiras ar tās unikālo stratēģiju, lai izvairītos no atklāšanas un analīzes, galvenokārt izmantojot Android manifesta faila neskaidrību.

Katrai Android lietojumprogrammai ir pievienots manifesta XML fails ar nosaukumu AndroidManifest.xml, kas atrodas saknes direktorijā. Šajā failā ir izklāstīti lietojumprogrammas komponenti, atļaujas un nepieciešamās aparatūras un programmatūras līdzekļi.

Saprotot, ka draudu mednieki parasti sāk savu analīzi, pārbaudot lietojumprogrammas manifesta failu, lai pārliecinātos par tās funkcionalitāti, ir novēroti ļaunprātīgie dalībnieki, kas ir atbildīgi par ļaunprātīgu programmatūru, izmantojot trīs atšķirīgas metodes, lai šo procesu ievērojami sarežģītu.

SoumniBot Mobile ļaunprogrammatūra veic jaunus pasākumus, lai izvairītos no atklāšanas

Sākotnējā pieeja ietver manipulācijas ar saspiešanas metodes vērtību APK manifesta faila izpakošanas laikā, izmantojot bibliotēku libziparchive. Šī metode izmanto bibliotēkas darbību, kas uzskata, ka jebkura vērtība, kas nav 0x0000 vai 0x0008, ir nesaspiesta, ļaujot izstrādātājiem ievietot jebkuru vērtību, izņemot 8, un rakstīt nesaspiestus datus.

Neskatoties uz to, ka atpakotāji ar pareizu saspiešanas metodes validāciju to uzskata par nederīgu, Android APK parsētājs pareizi interpretē šādus manifestus, ļaujot instalēt lietojumprogrammu. Konkrēti, šo paņēmienu kopš 2023. gada aprīļa ir pieņēmuši draudu dalībnieki, kas saistīti ar dažādiem Android banku Trojas zirgiem.

Otrkārt, SoumniBot izveido arhivētā manifesta faila lielumu, uzrādot vērtību, kas pārsniedz faktisko lielumu. Līdz ar to “nesaspiestais” fails tiek tieši kopēts, manifesta parsētājam neņemot vērā “pārklājuma” datus. Lai gan stingrāki manifesta parsētāji nevarētu interpretēt šādus failus, Android parsētājs apstrādā kļūdaino manifestu, nesaskaroties ar kļūdām.

Pēdējā taktika ietver garu XML nosaukumvietas nosaukumu izmantošanu manifesta failā, kas sarežģī pietiekamas atmiņas piešķiršanu analīzes rīkiem, lai tos apstrādātu. Tomēr manifesta parsētājs ir paredzēts, lai neņemtu vērā nosaukumvietas, tādējādi apstrādājot failu, neradot kļūdas.

SoumniBot atlasa sensitīvus datus par bojātām Android ierīcēm

Pēc aktivizēšanas SoumniBot izgūst savus konfigurācijas datus no iepriekš iestatītas servera adreses, lai iegūtu serverus, kas tiek izmantoti savākto datu pārsūtīšanai un komandu saņemšanai, izmantojot MQTT ziņojumapmaiņas protokolu.

Tas ir ieprogrammēts, lai aktivizētu nedrošu pakalpojumu, kas pārtraukšanas gadījumā tiek restartēts ik pēc 16 minūtēm, nodrošinot nepārtrauktu darbību, vienlaikus augšupielādējot informāciju ik pēc 15 sekundēm. Šie dati ietver ierīces metadatus, kontaktu sarakstus, īsziņas, fotoattēlus, videoklipus un instalēto lietojumprogrammu sarakstu.

Turklāt ļaunprātīgajai programmatūrai ir tādas funkcijas kā kontaktpersonu pievienošana un noņemšana, īsziņu nosūtīšana, klusuma režīma pārslēgšana un Android atkļūdošanas režīma aktivizēšana. Turklāt tas var paslēpt savu lietojumprogrammas ikonu, uzlabojot tā izturību pret atinstalēšanu no ierīces.

Ievērojams SoumniBot atribūts ir tā spēja skenēt ārējos datu nesējus .key un .der failiem, kuros ir ceļi, kas ved uz '/NPKI/yessign', kas atbilst ciparparaksta sertifikāta pakalpojumam, ko Dienvidkoreja nodrošina valsts banku sektoram (GPKI). un tiešsaistes biržas (NPKI) mērķiem.

Šie faili ir digitālie sertifikāti, ko Korejas bankas izsniedz saviem klientiem un ko izmanto, lai pieteiktos tiešsaistes banku platformās vai pārbaudītu bankas darījumus. Šis paņēmiens ir salīdzinoši rets Android banku ļaunprātīgās programmatūras vidū.