SoumniBot mobiele malware

Een voorheen onbekende Android-trojan genaamd SoumniBot is opgedoken en richt zich actief op gebruikers in Zuid-Korea. Het maakt misbruik van kwetsbaarheden binnen het manifestextractie- en parseerproces. Wat deze malware onderscheidt, is de unieke strategie om detectie en analyse te voorkomen, voornamelijk door verduistering van het Android-manifestbestand.

Elke Android-applicatie gaat vergezeld van een manifest XML-bestand met de naam "AndroidManifest.xml", gelegen in de hoofdmap. Dit bestand beschrijft de componenten, machtigingen en noodzakelijke hardware- en softwarefuncties van de applicatie.

Omdat ze begrijpen dat dreigingsjagers hun analyse gewoonlijk beginnen door het manifestbestand van de applicatie te onderzoeken om de functionaliteit ervan vast te stellen, is waargenomen dat de kwaadwillende actoren die verantwoordelijk zijn voor de malware drie verschillende technieken gebruiken om dit proces aanzienlijk te compliceren.

De SoumniBot mobiele malware neemt nieuwe maatregelen om detectie te voorkomen

De eerste aanpak omvat het manipuleren van de waarde van de compressiemethode tijdens het uitpakken van het manifestbestand van de APK met behulp van de libziparchive-bibliotheek. Deze methode maakt gebruik van het gedrag van de bibliotheek, waarbij elke waarde behalve 0x0000 of 0x0008 als niet-gecomprimeerd wordt beschouwd, waardoor ontwikkelaars elke waarde behalve 8 kunnen invoegen en ongecomprimeerde gegevens kunnen schrijven.

Ondanks dat uitpakkers met de juiste validatie van de compressiemethode als ongeldig worden beschouwd, interpreteert de Android APK-parser dergelijke manifesten correct, waardoor de applicatie kan worden geïnstalleerd. Deze techniek is met name sinds april 2023 overgenomen door bedreigingsactoren die verband houden met verschillende Trojaanse paarden voor Android-bankieren.

Ten tweede fabriceert SoumniBot de gearchiveerde manifestbestandsgrootte, waarbij een waarde wordt gepresenteerd die groter is dan de werkelijke grootte. Bijgevolg wordt het 'niet-gecomprimeerde' bestand rechtstreeks gekopieerd, waarbij de manifestparser de overtollige 'overlay'-gegevens negeert. Hoewel striktere manifestparsers dergelijke bestanden niet zouden kunnen interpreteren, verwerkt de Android-parser het gebrekkige manifest zonder fouten tegen te komen.

De laatste tactiek is het gebruik van lange XML-naamruimtenamen in het manifestbestand, wat de toewijzing van voldoende geheugen voor analysehulpmiddelen om deze te verwerken bemoeilijkt. De manifestparser is echter ontworpen om naamruimten te negeren, waardoor het bestand wordt verwerkt zonder dat er fouten optreden.

SoumniBot richt zich op gevoelige gegevens op geschonden Android-apparaten

Na activering haalt SoumniBot zijn configuratiegegevens op van een vooraf ingesteld serveradres om de servers te verwerven die worden gebruikt voor het verzenden van verzamelde gegevens en het ontvangen van opdrachten via het MQTT-berichtenprotocol.

Het is geprogrammeerd om een onveilige service te activeren die elke 16 minuten opnieuw opstart in geval van beëindiging, waardoor een continue werking wordt gegarandeerd terwijl er elke 15 seconden informatie wordt geüpload. Deze gegevens omvatten metagegevens van het apparaat, contactlijsten, sms-berichten, foto's, video's en een overzicht van geïnstalleerde applicaties.

Bovendien beschikt de malware over functionaliteiten, zoals het toevoegen en verwijderen van contacten, het verzenden van sms-berichten, het omschakelen van de stille modus en het activeren van de debug-modus van Android. Bovendien kan het het applicatiepictogram verbergen, waardoor de weerstand tegen verwijdering van het apparaat wordt vergroot.

Een opmerkelijk kenmerk van SoumniBot is de mogelijkheid om externe opslagmedia te scannen op .key- en .der-bestanden die paden bevatten die leiden naar '/NPKI/yessign', wat overeenkomt met de digitale handtekeningcertificaatservice die door Zuid-Korea wordt aangeboden voor overheids- (GPKI), bankzaken en online beursdoeleinden (NPKI).

Deze bestanden vertegenwoordigen digitale certificaten die door Koreaanse banken aan hun klanten zijn uitgegeven en worden gebruikt om in te loggen op platforms voor online bankieren of om banktransacties te verifiëren. Deze techniek is relatief ongebruikelijk bij malware voor Android-bankieren.