Malware SoumniBot Mobile

Një Trojan Android i panjohur më parë i quajtur SoumniBot është shfaqur dhe po synon në mënyrë aktive përdoruesit në Korenë e Jugut. Ai shfrytëzon dobësitë brenda procesit të nxjerrjes dhe analizimit të manifestit. Ajo që e veçon këtë malware është strategjia e tij unike për të shmangur zbulimin dhe analizën, kryesisht përmes turbullimit të skedarit të manifestit Android.

Çdo aplikacion Android shoqërohet nga një skedar manifest XML i quajtur "AndroidManifest.xml", i vendosur në direktorinë rrënjë. Ky skedar përshkruan përbërësit e aplikacionit, lejet dhe veçoritë e nevojshme të harduerit dhe softuerit.

Duke kuptuar që gjuetarët e kërcënimeve zakonisht e nisin analizën e tyre duke ekzaminuar skedarin e manifestit të aplikacionit për të konstatuar funksionalitetin e tij, aktorët keqdashës përgjegjës për malware janë vërejtur duke përdorur tre teknika të ndryshme për ta komplikuar ndjeshëm këtë proces.

Malware celular SoumniBot merr masa të reja për të shmangur zbulimin

Qasja fillestare përfshin manipulimin e vlerës së metodës së kompresimit gjatë zbërthimit të skedarit manifest të APK-së duke përdorur bibliotekën libziparchive. Kjo metodë shfrytëzon sjelljen e bibliotekës, e cila konsideron çdo vlerë tjetër përveç 0x0000 ose 0x0008 si të pakompresuar, duke i lejuar zhvilluesit të fusin çdo vlerë përveç 8 dhe të shkruajnë të dhëna të pakompresuara.

Pavarësisht se konsiderohet i pavlefshëm nga shpaketuesit me vërtetimin e duhur të metodës së kompresimit, analizuesi APK Android interpreton saktë manifestime të tilla, duke lejuar instalimin e aplikacionit. Veçanërisht, kjo teknikë është adoptuar nga aktorë kërcënimi të lidhur me Trojan të ndryshëm bankar Android që nga prilli 2023.

Së dyti, SoumniBot fabrikon madhësinë e skedarit të arkivuar të manifestit, duke paraqitur një vlerë që tejkalon madhësinë aktuale. Rrjedhimisht, skedari 'i pakompresuar' kopjohet drejtpërdrejt, me analizuesin e manifestit që nuk merr parasysh të dhënat e tepërta 'mbivendosje'. Ndërsa analizuesit më të rreptë të manifestit do të dështonin në interpretimin e skedarëve të tillë, analizuesi Android trajton manifestin me të meta pa hasur në gabime.

Taktika e fundit përfshin përdorimin e emrave të gjatë të hapësirave të emrave XML brenda skedarit të manifestit, duke komplikuar ndarjen e memories së mjaftueshme për mjetet e analizës për t'i përpunuar ato. Megjithatë, analizuesi i manifestit është krijuar për të shpërfillur hapësirat e emrave, duke përpunuar kështu skedarin pa ngritur ndonjë gabim.

SoumniBot synon të dhëna të ndjeshme në pajisjet Android të dëmtuara

Pasi aktivizohet, SoumniBot merr të dhënat e tij të konfigurimit nga një adresë e paracaktuar e serverit për të marrë serverët e përdorur për transmetimin e të dhënave të mbledhura dhe marrjen e komandave përmes protokollit të mesazheve MQTT.

Është programuar të aktivizojë një shërbim të pasigurt që rinis çdo 16 minuta në rast përfundimi, duke siguruar funksionim të vazhdueshëm ndërsa ngarkon informacion çdo 15 sekonda. Këto të dhëna përfshijnë meta të dhënat e pajisjes, listat e kontakteve, mesazhet SMS, fotot, videot dhe një listë të aplikacioneve të instaluara.

Për më tepër, malware posedon funksionalitete, të tilla si shtimi dhe heqja e kontakteve, dërgimi i mesazheve SMS, ndërrimi i modalitetit të heshtur dhe aktivizimi i modalitetit të korrigjimit të Android. Për më tepër, ai mund të fshehë ikonën e tij të aplikimit, duke rritur rezistencën e tij ndaj çinstalimit nga pajisja.

Një atribut i dukshëm i SoumniBot është aftësia e tij për të skanuar mediat e jashtme të ruajtjes për skedarët .key dhe .der që përmbajnë shtigje që të çojnë në '/NPKI/yessign', që korrespondon me shërbimin e certifikatës së nënshkrimit dixhital të ofruar nga Koreja e Jugut për bankat qeveritare (GPKI). dhe qëllime të bursës online (NPKI).

Këta skedarë përfaqësojnë certifikata dixhitale të lëshuara nga bankat koreane për klientët e tyre, të përdorura për të hyrë në platformat bankare në internet ose për të verifikuar transaksionet bankare. Kjo teknikë është relativisht e pazakontë në mesin e malware bankar Android.