Mobilný malvér SoumniBot

Objavil sa predtým neznámy trójsky kôň Android s názvom SoumniBot, ktorý sa aktívne zameriava na používateľov v Južnej Kórei. Využíva slabé miesta v rámci procesu extrakcie a analýzy manifestu. To, čo odlišuje tento malvér, je jeho jedinečná stratégia vyhýbať sa detekcii a analýze, predovšetkým prostredníctvom zahmlievania súboru manifestu systému Android.

Každá aplikácia pre Android je sprevádzaná súborom manifestu XML s názvom „AndroidManifest.xml“, ktorý sa nachádza v koreňovom adresári. Tento súbor popisuje súčasti aplikácie, povolenia a potrebné hardvérové a softvérové funkcie.

Chápajúc, že lovci hrozieb bežne iniciujú svoju analýzu skúmaním súboru manifestu aplikácie, aby sa uistili o jej funkčnosti, boli záškodníci zodpovední za malvér pozorovaní pomocou troch odlišných techník, ktoré tento proces výrazne skomplikovali.

Mobilný malvér SoumniBot prijíma nové opatrenia, aby zabránil odhaleniu

Počiatočný prístup zahŕňa manipuláciu s hodnotou metódy kompresie počas rozbaľovania súboru manifestu APK pomocou knižnice libziparchive. Táto metóda využíva správanie knižnice, ktorá považuje akúkoľvek hodnotu inú ako 0x0000 alebo 0x0008 za nekomprimovanú, čo umožňuje vývojárom vložiť akúkoľvek hodnotu okrem 8 a zapisovať nekomprimované údaje.

Napriek tomu, že rozbaľovač so správnym overením metódy kompresie ho považuje za neplatný, analyzátor Android APK správne interpretuje takéto manifesty a umožňuje inštaláciu aplikácie. Je pozoruhodné, že túto techniku si od apríla 2023 osvojili aktéri hrozieb spojení s rôznymi trójskymi koňmi Android banking.

Po druhé, SoumniBot vyrába archivovanú veľkosť súboru manifestu, pričom predstavuje hodnotu presahujúcu skutočnú veľkosť. V dôsledku toho sa „nekomprimovaný“ súbor priamo skopíruje, pričom analyzátor manifestu neberie do úvahy nadbytočné „prekryvné“ údaje. Zatiaľ čo prísnejšie analyzátory manifestov by nedokázali interpretovať takéto súbory, analyzátor systému Android spracuje chybný manifest bez toho, aby narazil na chyby.

Posledná taktika zahŕňa použitie zdĺhavých názvov názvov XML v súbore manifestu, čo komplikuje pridelenie dostatočnej pamäte pre analytické nástroje na ich spracovanie. Analyzátor manifestu je však navrhnutý tak, aby nebral ohľad na priestory názvov, a preto súbor spracuje bez toho, aby vyvolal akékoľvek chyby.

SoumniBot sa zameriava na citlivé údaje o narušených zariadeniach so systémom Android

Po aktivácii SoumniBot získava svoje konfiguračné údaje z prednastavenej adresy servera, aby získal servery používané na prenos zhromaždených údajov a prijímanie príkazov prostredníctvom protokolu MQTT.

Je naprogramovaný tak, aby aktivoval nebezpečnú službu, ktorá sa reštartuje každých 16 minút v prípade ukončenia, čím sa zabezpečí nepretržitá prevádzka pri nahrávaní informácií každých 15 sekúnd. Tieto údaje zahŕňajú metadáta zariadenia, zoznamy kontaktov, správy SMS, fotografie, videá a zoznam nainštalovaných aplikácií.

Okrem toho má malvér funkcie, ako je pridávanie a odstraňovanie kontaktov, odosielanie správ SMS, prepínanie tichého režimu a aktivácia režimu ladenia systému Android. Okrem toho môže skryť ikonu svojej aplikácie, čím sa zvýši jej odolnosť voči odinštalovaniu zo zariadenia.

Pozoruhodným atribútom SoumniBot je jeho schopnosť skenovať externé pamäťové médiá pre súbory .key a .der obsahujúce cesty vedúce k '/NPKI/yessign,' čo zodpovedá službe certifikátu digitálneho podpisu poskytovanej Južnou Kóreou pre vládne (GPKI), bankovníctvo. a na účely online burzy (NPKI).

Tieto súbory predstavujú digitálne certifikáty vydané kórejskými bankami svojim zákazníkom, ktoré sa používajú na prihlásenie do online bankových platforiem alebo overenie bankových transakcií. Táto technika je medzi škodlivým softvérom Android banking pomerne neobvyklá.