Złośliwe oprogramowanie mobilne SoumniBot
Pojawił się nieznany wcześniej trojan dla Androida, nazwany SoumniBot, który aktywnie atakuje użytkowników w Korei Południowej. Wykorzystuje luki w procesie wyodrębniania i analizowania manifestów. Tym, co wyróżnia to złośliwe oprogramowanie, jest jego unikalna strategia unikania wykrycia i analizy, głównie poprzez zaciemnianie pliku manifestu Androida.
Każdej aplikacji na Androida towarzyszy plik manifestu XML o nazwie „AndroidManifest.xml” znajdujący się w katalogu głównym. W tym pliku opisano komponenty aplikacji, uprawnienia oraz niezbędne funkcje sprzętu i oprogramowania.
Rozumiejąc, że łowcy zagrożeń zazwyczaj rozpoczynają analizę od sprawdzenia pliku manifestu aplikacji w celu sprawdzenia jego funkcjonalności, zaobserwowano, że złośliwi aktorzy odpowiedzialni za szkodliwe oprogramowanie wykorzystują trzy różne techniki, które znacznie komplikują ten proces.
Złośliwe oprogramowanie mobilne SoumniBot podejmuje nowatorskie środki, aby uniknąć wykrycia
Początkowe podejście polega na manipulowaniu wartością metody Compression podczas rozpakowywania pliku manifestu APK przy użyciu biblioteki libziparchive. Ta metoda wykorzystuje zachowanie biblioteki, która traktuje każdą wartość inną niż 0x0000 lub 0x0008 jako nieskompresowaną, umożliwiając programistom wstawianie dowolnej wartości z wyjątkiem 8 i zapisywanie nieskompresowanych danych.
Pomimo uznania za nieważny przez osoby rozpakowujące z odpowiednią walidacją metody kompresji, parser pakietu APK systemu Android poprawnie interpretuje takie manifesty, umożliwiając instalację aplikacji. Warto zauważyć, że technika ta została zastosowana przez podmioty zagrażające powiązane z różnymi trojanami bankowymi dla systemu Android od kwietnia 2023 r.
Po drugie, SoumniBot fabrykuje rozmiar zarchiwizowanego pliku manifestu, przedstawiając wartość przekraczającą rozmiar rzeczywisty. W rezultacie „nieskompresowany” plik jest kopiowany bezpośrednio, a parser manifestu ignoruje nadwyżkę danych „nakładki”. Podczas gdy bardziej rygorystyczne parsery manifestu nie zinterpretowałyby takich plików, parser Androida obsługuje wadliwy manifest bez napotykania błędów.
Ostatnia taktyka polega na zastosowaniu długich nazw przestrzeni nazw XML w pliku manifestu, co komplikuje alokację wystarczającej ilości pamięci dla narzędzi analitycznych do ich przetwarzania. Jednakże parser manifestu został zaprojektowany tak, aby ignorować przestrzenie nazw, a zatem przetwarzać plik bez powodowania jakichkolwiek błędów.
SoumniBot celuje w wrażliwe dane na urządzeniach z Androidem, które zostały naruszone
Po aktywacji SoumniBot pobiera dane konfiguracyjne ze wstępnie ustawionego adresu serwera, aby uzyskać dostęp do serwerów wykorzystywanych do przesyłania zebranych danych i odbierania poleceń za pośrednictwem protokołu przesyłania wiadomości MQTT.
Jest zaprogramowany tak, aby aktywować niebezpieczną usługę, która w przypadku zakończenia połączenia uruchamia się ponownie co 16 minut, zapewniając ciągłość działania podczas przesyłania informacji co 15 sekund. Dane te obejmują metadane urządzenia, listy kontaktów, wiadomości SMS, zdjęcia, filmy i listę zainstalowanych aplikacji.
Dodatkowo szkodliwe oprogramowanie posiada funkcje, takie jak dodawanie i usuwanie kontaktów, wysyłanie wiadomości SMS, przełączanie trybu cichego i aktywowanie trybu debugowania Androida. Ponadto może ukryć ikonę aplikacji, zwiększając jej odporność na odinstalowanie z urządzenia.
Godną uwagi cechą SoumniBot jest jego zdolność do skanowania zewnętrznych nośników pamięci w poszukiwaniu plików .key i .der zawierających ścieżki prowadzące do „/NPKI/yessign”, co odpowiada usłudze certyfikatu podpisu cyfrowego świadczonej przez Koreę Południową dla instytucji rządowych (GPKI), bankowości oraz giełdy internetowej (NPKI).
Pliki te reprezentują cyfrowe certyfikaty wydawane przez koreańskie banki swoim klientom i wykorzystywane do logowania się do platform bankowości internetowej lub weryfikacji transakcji bankowych. Technika ta jest stosunkowo rzadka wśród szkodliwego oprogramowania bankowego dla systemu Android.
