SoumniBot Mobile Malware

En tidligere ukjent Android-trojaner kalt SoumniBot har dukket opp og retter seg aktivt mot brukere i Sør-Korea. Den utnytter sårbarheter i den manifeste utvinnings- og parsingsprosessen. Det som skiller denne skadevaren er dens unike strategi for å unngå oppdagelse og analyse, først og fremst gjennom tilsløring av Android-manifestfilen.

Hver Android-applikasjon er ledsaget av en manifest XML-fil kalt "AndroidManifest.xml," som ligger i rotkatalogen. Denne filen skisserer applikasjonens komponenter, tillatelser og nødvendige maskinvare- og programvarefunksjoner.

Forståelse av at trusseljegere vanligvis starter sin analyse ved å undersøke programmets manifestfil for å finne ut om dens funksjonalitet, har de ondsinnede aktørene som er ansvarlige for skadelig programvare blitt observert ved å bruke tre forskjellige teknikker for å komplisere denne prosessen betydelig.

SoumniBot Mobile Malware tar nye tiltak for å unngå oppdagelse

Den første tilnærmingen innebærer å manipulere komprimeringsmetodeverdien under utpakking av APK-ens manifestfil ved å bruke libziparchive-biblioteket. Denne metoden utnytter bibliotekets oppførsel, som anser enhver annen verdi enn 0x0000 eller 0x0008 som ukomprimert, slik at utviklere kan sette inn en hvilken som helst verdi bortsett fra 8 og skrive ukomprimerte data.

Til tross for at den anses som ugyldig av utpakkere med riktig validering av komprimeringsmetoden, tolker Android APK-parseren slike manifester korrekt, og tillater installasjon av applikasjonen. Spesielt har denne teknikken blitt tatt i bruk av trusselaktører knyttet til forskjellige Android-banktrojanere siden april 2023.

For det andre produserer SoumniBot den arkiverte manifestfilstørrelsen, og presenterer en verdi som overstiger den faktiske størrelsen. Følgelig blir den 'ukomprimerte' filen direkte kopiert, mens manifest-parseren ser bort fra de overskytende 'overleggs'-dataene. Mens strengere manifest-parsere vil mislykkes i å tolke slike filer, håndterer Android-parseren det mangelfulle manifestet uten å støte på feil.

Den siste taktikken innebærer å bruke lange XML-navneområder i manifestfilen, noe som kompliserer tildelingen av tilstrekkelig minne for analyseverktøy for å behandle dem. Manifestparseren er imidlertid utformet for å se bort fra navneområder, og behandler derfor filen uten å oppstå noen feil.

SoumniBot retter seg mot sensitive data på brudd på Android-enheter

Etter å ha blitt aktivert, henter SoumniBot sine konfigurasjonsdata fra en forhåndsinnstilt serveradresse for å hente serverne som brukes til å overføre innsamlede data og motta kommandoer gjennom MQTT-meldingsprotokollen.

Den er programmert til å aktivere en usikker tjeneste som starter på nytt hvert 16. minutt i tilfelle oppsigelse, og sikrer kontinuerlig drift mens du laster opp informasjon hvert 15. sekund. Disse dataene omfatter enhetens metadata, kontaktlister, SMS-meldinger, bilder, videoer og en liste over installerte applikasjoner.

I tillegg har skadelig programvare funksjoner, som å legge til og fjerne kontakter, sende SMS-meldinger, bytte stille modus og aktivere Androids feilsøkingsmodus. Videre kan den skjule applikasjonsikonet, noe som øker motstanden mot avinstallering fra enheten.

En bemerkelsesverdig egenskap ved SoumniBot er dens evne til å skanne eksterne lagringsmedier etter .key- og .der-filer som inneholder stier som fører til '/NPKI/yessign', som tilsvarer den digitale signatursertifikattjenesten levert av Sør-Korea for statlige (GPKI), banktjenester og nettbørs (NPKI) formål.

Disse filene representerer digitale sertifikater utstedt av koreanske banker til deres kunder, brukt til å logge på nettbankplattformer eller bekrefte banktransaksjoner. Denne teknikken er relativt uvanlig blant Android-bankprogramvare.