SoumniBot ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਐਂਡਰੌਇਡ ਟਰੋਜਨ ਜਿਸ ਨੂੰ SoumniBot ਕਿਹਾ ਜਾਂਦਾ ਹੈ ਉਭਰਿਆ ਹੈ ਅਤੇ ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਇਹ ਮੈਨੀਫੈਸਟ ਐਕਸਟਰੈਕਸ਼ਨ ਅਤੇ ਪਾਰਸਿੰਗ ਪ੍ਰਕਿਰਿਆ ਦੇ ਅੰਦਰ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ। ਜੋ ਚੀਜ਼ ਇਸ ਮਾਲਵੇਅਰ ਨੂੰ ਵੱਖਰਾ ਕਰਦੀ ਹੈ ਉਹ ਹੈ ਖੋਜ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਚਣ ਲਈ ਇਸਦੀ ਵਿਲੱਖਣ ਰਣਨੀਤੀ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਐਂਡਰੌਇਡ ਮੈਨੀਫੈਸਟ ਫਾਈਲ ਦੀ ਗੁੰਝਲਦਾਰਤਾ ਦੁਆਰਾ।

ਹਰੇਕ ਐਂਡਰੌਇਡ ਐਪਲੀਕੇਸ਼ਨ ਰੂਟ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਸਥਿਤ "AndroidManifest.xml" ਨਾਮ ਦੀ ਇੱਕ ਮੈਨੀਫੈਸਟ XML ਫਾਈਲ ਦੇ ਨਾਲ ਹੁੰਦੀ ਹੈ। ਇਹ ਫਾਈਲ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਭਾਗਾਂ, ਅਨੁਮਤੀਆਂ, ਅਤੇ ਜ਼ਰੂਰੀ ਹਾਰਡਵੇਅਰ ਅਤੇ ਸਾਫਟਵੇਅਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਰੂਪਰੇਖਾ ਦੱਸਦੀ ਹੈ।

ਇਹ ਸਮਝਦਿਆਂ ਕਿ ਖਤਰੇ ਦੇ ਸ਼ਿਕਾਰੀ ਆਮ ਤੌਰ 'ਤੇ ਇਸਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਮੈਨੀਫੈਸਟ ਫਾਈਲ ਦੀ ਜਾਂਚ ਕਰਕੇ ਆਪਣਾ ਵਿਸ਼ਲੇਸ਼ਣ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ, ਮਾਲਵੇਅਰ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਖਤਰਨਾਕ ਐਕਟਰ ਇਸ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਗੁੰਝਲਦਾਰ ਬਣਾਉਣ ਲਈ ਤਿੰਨ ਵੱਖਰੀਆਂ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖੇ ਗਏ ਹਨ।

SoumniBot ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਨਵੇਂ ਉਪਾਅ ਕਰਦਾ ਹੈ

ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵਿੱਚ libziparchive ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਏਪੀਕੇ ਦੀ ਮੈਨੀਫੈਸਟ ਫਾਈਲ ਨੂੰ ਅਨਪੈਕ ਕਰਨ ਦੌਰਾਨ ਕੰਪਰੈਸ਼ਨ ਵਿਧੀ ਦੇ ਮੁੱਲ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਵਿਧੀ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਵਿਵਹਾਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ, ਜੋ 0x0000 ਜਾਂ 0x0008 ਤੋਂ ਇਲਾਵਾ ਕਿਸੇ ਵੀ ਮੁੱਲ ਨੂੰ ਸੰਕੁਚਿਤ ਨਹੀਂ ਮੰਨਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਡਿਵੈਲਪਰਾਂ ਨੂੰ 8 ਨੂੰ ਛੱਡ ਕੇ ਕੋਈ ਵੀ ਮੁੱਲ ਸ਼ਾਮਲ ਕਰਨ ਅਤੇ ਅਣਕੰਪਰੈੱਸਡ ਡੇਟਾ ਲਿਖਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਸਹੀ ਕੰਪਰੈਸ਼ਨ ਵਿਧੀ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਨਾਲ ਅਨਪੈਕਰਾਂ ਦੁਆਰਾ ਅਵੈਧ ਮੰਨੇ ਜਾਣ ਦੇ ਬਾਵਜੂਦ, Android APK ਪਾਰਸਰ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਸਥਾਪਨਾ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹੋਏ ਅਜਿਹੇ ਮੈਨੀਫੈਸਟਾਂ ਦੀ ਸਹੀ ਵਿਆਖਿਆ ਕਰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਸ ਤਕਨੀਕ ਨੂੰ ਅਪ੍ਰੈਲ 2023 ਤੋਂ ਵੱਖ-ਵੱਖ ਐਂਡਰੌਇਡ ਬੈਂਕਿੰਗ ਟਰੋਜਨਾਂ ਨਾਲ ਜੁੜੇ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਅਪਣਾਇਆ ਗਿਆ ਹੈ।

ਦੂਜਾ, SoumniBot ਅਸਲ ਆਕਾਰ ਤੋਂ ਵੱਧ ਮੁੱਲ ਪੇਸ਼ ਕਰਦੇ ਹੋਏ, ਪੁਰਾਲੇਖ ਕੀਤੇ ਮੈਨੀਫੈਸਟ ਫਾਈਲ ਆਕਾਰ ਨੂੰ ਘੜਦਾ ਹੈ। ਸਿੱਟੇ ਵਜੋਂ, 'ਅਨਕੰਪਰੈੱਸਡ' ਫਾਈਲ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਕਾਪੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਮੈਨੀਫੈਸਟ ਪਾਰਸਰ ਵਾਧੂ 'ਓਵਰਲੇ' ਡੇਟਾ ਦੀ ਅਣਦੇਖੀ ਕਰਦੇ ਹੋਏ। ਹਾਲਾਂਕਿ ਸਖਤ ਮੈਨੀਫੈਸਟ ਪਾਰਸਰ ਅਜਿਹੀਆਂ ਫਾਈਲਾਂ ਦੀ ਵਿਆਖਿਆ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਹੋਣਗੇ, ਐਂਡਰੌਇਡ ਪਾਰਸਰ ਗਲਤੀਆਂ ਦਾ ਸਾਹਮਣਾ ਕੀਤੇ ਬਿਨਾਂ ਗਲਤ ਮੈਨੀਫੈਸਟ ਨੂੰ ਸੰਭਾਲਦਾ ਹੈ।

ਅੰਤਮ ਰਣਨੀਤੀ ਵਿੱਚ ਮੈਨੀਫੈਸਟ ਫਾਈਲ ਦੇ ਅੰਦਰ ਲੰਬੇ XML ਨੇਮਸਪੇਸ ਨਾਮਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਪ੍ਰਕਿਰਿਆ ਕਰਨ ਲਈ ਵਿਸ਼ਲੇਸ਼ਣ ਸਾਧਨਾਂ ਲਈ ਲੋੜੀਂਦੀ ਮੈਮੋਰੀ ਦੀ ਵੰਡ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਮੈਨੀਫੈਸਟ ਪਾਰਸਰ ਨਾਮ-ਸਥਾਨਾਂ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਇਸਲਈ ਕੋਈ ਵੀ ਤਰੁੱਟੀ ਪੈਦਾ ਕੀਤੇ ਬਿਨਾਂ ਫਾਈਲ ਦੀ ਪ੍ਰਕਿਰਿਆ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।

SoumniBot ਉਲੰਘਣਾ ਕੀਤੇ Android ਡਿਵਾਈਸਾਂ 'ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ

ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, SoumniBot ਇੱਕ ਪੂਰਵ-ਸੈਟ ਸਰਵਰ ਪਤੇ ਤੋਂ ਆਪਣੇ ਸੰਰਚਨਾ ਡੇਟਾ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਇਕੱਤਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨ ਅਤੇ MQTT ਮੈਸੇਜਿੰਗ ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤੇ ਗਏ ਸਰਵਰਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕੇ।

ਇਹ ਇੱਕ ਅਸੁਰੱਖਿਅਤ ਸੇਵਾ ਨੂੰ ਸਰਗਰਮ ਕਰਨ ਲਈ ਪ੍ਰੋਗ੍ਰਾਮ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਹਰ 15 ਸਕਿੰਟਾਂ ਵਿੱਚ ਜਾਣਕਾਰੀ ਅੱਪਲੋਡ ਕਰਦੇ ਸਮੇਂ ਨਿਰੰਤਰ ਕਾਰਵਾਈ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋਏ, ਸਮਾਪਤੀ ਦੀ ਸਥਿਤੀ ਵਿੱਚ ਹਰ 16 ਮਿੰਟਾਂ ਵਿੱਚ ਮੁੜ ਚਾਲੂ ਹੁੰਦੀ ਹੈ। ਇਸ ਡੇਟਾ ਵਿੱਚ ਡਿਵਾਈਸ ਮੈਟਾਡੇਟਾ, ਸੰਪਰਕ ਸੂਚੀਆਂ, SMS ਸੁਨੇਹੇ, ਫੋਟੋਆਂ, ਵੀਡੀਓ ਅਤੇ ਸਥਾਪਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦਾ ਇੱਕ ਰੋਸਟਰ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਵਿੱਚ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਹਨ, ਜਿਵੇਂ ਕਿ ਸੰਪਰਕ ਜੋੜਨਾ ਅਤੇ ਹਟਾਉਣਾ, SMS ਸੁਨੇਹੇ ਭੇਜਣਾ, ਸਾਈਲੈਂਟ ਮੋਡ ਨੂੰ ਟੌਗਲ ਕਰਨਾ ਅਤੇ ਐਂਡਰਾਇਡ ਦੇ ਡੀਬੱਗ ਮੋਡ ਨੂੰ ਸਰਗਰਮ ਕਰਨਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਆਪਣੇ ਐਪਲੀਕੇਸ਼ਨ ਆਈਕਨ ਨੂੰ ਛੁਪਾ ਸਕਦਾ ਹੈ, ਡਿਵਾਈਸ ਤੋਂ ਅਣਇੰਸਟੌਲੇਸ਼ਨ ਦੇ ਵਿਰੋਧ ਨੂੰ ਵਧਾ ਸਕਦਾ ਹੈ।

SoumniBot ਦੀ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ੇਸ਼ਤਾ .key ਅਤੇ .der ਫਾਈਲਾਂ ਲਈ ਬਾਹਰੀ ਸਟੋਰੇਜ ਮੀਡੀਆ ਨੂੰ ਸਕੈਨ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ ਜਿਸ ਵਿੱਚ '/NPKI/yessign' ਵੱਲ ਜਾਣ ਵਾਲੇ ਮਾਰਗ ਹਨ, ਜੋ ਕਿ ਸਰਕਾਰੀ (GPKI), ਬੈਂਕਿੰਗ ਲਈ ਦੱਖਣੀ ਕੋਰੀਆ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੀ ਡਿਜੀਟਲ ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟ ਸੇਵਾ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ। ਅਤੇ ਔਨਲਾਈਨ ਸਟਾਕ ਐਕਸਚੇਂਜ (NPKI) ਉਦੇਸ਼ਾਂ ਲਈ।

ਇਹ ਫਾਈਲਾਂ ਕੋਰੀਆਈ ਬੈਂਕਾਂ ਦੁਆਰਾ ਆਪਣੇ ਗਾਹਕਾਂ ਨੂੰ ਜਾਰੀ ਕੀਤੇ ਡਿਜੀਟਲ ਸਰਟੀਫਿਕੇਟਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਜੋ ਔਨਲਾਈਨ ਬੈਂਕਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਜਾਂ ਬੈਂਕਿੰਗ ਲੈਣ-ਦੇਣ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਇਹ ਤਕਨੀਕ ਐਂਡਰਾਇਡ ਬੈਂਕਿੰਗ ਮਾਲਵੇਅਰ ਵਿੱਚ ਮੁਕਾਬਲਤਨ ਅਸਧਾਰਨ ਹੈ।