SoumniBot मोबाइल मालवेयर
पहिले अज्ञात एन्ड्रोइड ट्रोजन डब SoumniBot देखा परेको छ र सक्रिय रूपमा दक्षिण कोरियामा प्रयोगकर्ताहरूलाई लक्षित गर्दैछ। यसले प्रकट निकासी र पार्सिङ प्रक्रिया भित्र कमजोरीहरूको शोषण गर्दछ। मुख्यतया एन्ड्रोइड मेनिफेस्ट फाइलको अस्पष्टता मार्फत पत्ता लगाउन र विश्लेषणबाट बच्नको लागि यस मालवेयरलाई के फरक सेट गर्दछ।
प्रत्येक एन्ड्रोइड एप्लिकेसनमा रूट डाइरेक्टरीमा अवस्थित "AndroidManifest.xml" नामक म्यानिफेस्ट XML फाइल हुन्छ। यो फाइलले एपको कम्पोनेन्टहरू, अनुमतिहरू, र आवश्यक हार्डवेयर र सफ्टवेयर सुविधाहरूलाई रूपरेखा दिन्छ।
यो बुझेर कि खतरा शिकारीहरूले सामान्यतया अनुप्रयोगको म्यानिफेस्ट फाइल जाँच गरेर यसको कार्यक्षमता पत्ता लगाउनको लागि तिनीहरूको विश्लेषण सुरु गर्छन्, मालवेयरका लागि जिम्मेवार खराब अभिनेताहरूले यस प्रक्रियालाई महत्त्वपूर्ण रूपमा जटिल बनाउन तीनवटा फरक प्रविधिहरू प्रयोग गरेको अवलोकन गरिएको छ।
SoumniBot मोबाइल मालवेयरले पत्ता लगाउनबाट बच्न नयाँ उपायहरू लिन्छ
प्रारम्भिक दृष्टिकोणले libziparchive पुस्तकालय प्रयोग गरेर APK को manifest फाइल अनप्याक गर्दा कम्प्रेसन विधि मान हेरफेर समावेश गर्दछ। यो विधिले पुस्तकालयको व्यवहारको शोषण गर्छ, जसले ०x०००० वा ०x००८ बाहेकको कुनै पनि मानलाई असम्पीडित मान्दछ, जसले विकासकर्ताहरूलाई ८ बाहेक कुनै पनि मान घुसाउन र असम्पीडित डाटा लेख्न अनुमति दिन्छ।
उचित कम्प्रेसन विधि प्रमाणीकरणको साथ अनप्याकरहरू द्वारा अवैध मानिएको भए तापनि, एन्ड्रोइड APK पार्सरले अनुप्रयोगको स्थापनालाई अनुमति दिँदै त्यस्ता प्रकटहरूलाई सही रूपमा व्याख्या गर्दछ। उल्लेखनीय रूपमा, यो प्रविधि अप्रिल 2023 देखि विभिन्न एन्ड्रोइड बैंकिङ ट्रोजनहरूसँग सम्बन्धित खतरा अभिनेताहरूले अपनाएका छन्।
दोस्रो, SoumniBot ले अभिलेखित म्यानिफेस्ट फाइल साइज फेब्रिकेट गर्छ, वास्तविक साइजभन्दा बढी मान प्रस्तुत गर्दै। फलस्वरूप, 'अनकम्प्रेस गरिएको' फाइल सीधै प्रतिलिपि गरिएको छ, म्यानिफेस्ट पार्सरले अतिरिक्त 'ओभरले' डाटालाई बेवास्ता गर्दै। कडा म्यानिफेस्ट पार्सरहरूले त्यस्ता फाइलहरूको व्याख्या गर्न असफल हुँदा, एन्ड्रोइड पार्सरले त्रुटिहरूको सामना नगरी त्रुटिपूर्ण प्रकटीकरणलाई ह्यान्डल गर्छ।
अन्तिम रणनीतिमा म्यानिफेस्ट फाइल भित्र लामो XML नेमस्पेस नामहरू प्रयोग गर्ने समावेश छ, विश्लेषण उपकरणहरूको लागि पर्याप्त मेमोरीको आवंटनलाई जटिल बनाउने। यद्यपि, manifest parser नामस्थानलाई बेवास्ता गर्न डिजाइन गरिएको हो, त्यसैले कुनै त्रुटिहरू नउठाएर फाइललाई प्रशोधन गर्दछ।
SoumniBot ले उलंघन गरिएका एन्ड्रोइड उपकरणहरूमा संवेदनशील डेटालाई लक्षित गर्दछ
सक्रिय गरिसकेपछि, SoumniBot ले पूर्व-सेट सर्भर ठेगानाबाट यसको कन्फिगरेसन डाटा पुन: प्राप्त गर्दछ संग्रहित डाटा प्रसारण गर्न र MQTT सन्देश प्रोटोकल मार्फत आदेशहरू प्राप्त गर्न प्रयोग गरिएको सर्भरहरू प्राप्त गर्न।
यो एक असुरक्षित सेवा सक्रिय गर्न प्रोग्राम गरिएको छ जुन समाप्तिको अवस्थामा प्रत्येक 16 मिनेटमा पुन: सुरु हुन्छ, प्रत्येक 15 सेकेन्डमा जानकारी अपलोड गर्दा निरन्तर सञ्चालन सुनिश्चित गर्दै। यो डाटाले यन्त्र मेटाडेटा, सम्पर्क सूचीहरू, एसएमएस सन्देशहरू, फोटोहरू, भिडियोहरू र स्थापित अनुप्रयोगहरूको सूची समावेश गर्दछ।
थप रूपमा, मालवेयरसँग सम्पर्कहरू थप्ने र हटाउने, SMS सन्देशहरू पठाउने, साइलेन्ट मोड टगल गर्ने र एन्ड्रोइडको डिबग मोड सक्रिय गर्ने जस्ता सुविधाहरू छन्। यसबाहेक, यसले आफ्नो एप्लिकेसन आइकन लुकाउन सक्छ, यन्त्रबाट स्थापना रद्द गर्न यसको प्रतिरोध बढाउँदै।
SoumniBot को एक उल्लेखनीय विशेषता भनेको '/NPKI/yessign' तर्फ जाने मार्गहरू समावेश गर्ने .key र .der फाइलहरूको लागि बाह्य भण्डारण मिडिया स्क्यान गर्ने क्षमता हो, जुन दक्षिण कोरियाले सरकारी (GPKI), बैंकिङका लागि उपलब्ध गराएको डिजिटल हस्ताक्षर प्रमाणपत्र सेवासँग मेल खान्छ। र अनलाइन स्टक एक्सचेन्ज (NPKI) उद्देश्यहरू।
यी फाइलहरूले कोरियाली बैंकहरूद्वारा आफ्ना ग्राहकहरूलाई जारी गरिएका डिजिटल प्रमाणपत्रहरू, अनलाइन बैंकिङ प्लेटफर्महरूमा लगइन गर्न वा बैंकिङ कारोबारहरू प्रमाणीकरण गर्न प्रयोग गरिएका हुन्। यो प्रविधि एन्ड्रोइड बैंकिङ मालवेयर बीच अपेक्षाकृत असामान्य छ।
