SoumniBot மொபைல் மால்வேர்

SoumniBot என்று பெயரிடப்பட்ட முன்னர் அறியப்படாத ஆண்ட்ராய்டு ட்ரோஜன் தோன்றி, தென் கொரியாவில் உள்ள பயனர்களை தீவிரமாக குறிவைக்கிறது. வெளிப்படையான பிரித்தெடுத்தல் மற்றும் பாகுபடுத்தும் செயல்முறையில் உள்ள பாதிப்புகளை இது பயன்படுத்துகிறது. இந்த தீம்பொருளை வேறுபடுத்துவது, முதன்மையாக ஆண்ட்ராய்டு மேனிஃபெஸ்ட் கோப்பை தெளிவின்மை மூலம் கண்டறிதல் மற்றும் பகுப்பாய்வு செய்வதைத் தவிர்ப்பதற்கான அதன் தனித்துவமான உத்தியாகும்.

ஒவ்வொரு Android பயன்பாடும் ரூட் கோப்பகத்தில் அமைந்துள்ள "AndroidManifest.xml" என்ற மேனிஃபெஸ்ட் எக்ஸ்எம்எல் கோப்புடன் இருக்கும். இந்த கோப்பு பயன்பாட்டின் கூறுகள், அனுமதிகள் மற்றும் தேவையான வன்பொருள் மற்றும் மென்பொருள் அம்சங்களைக் கோடிட்டுக் காட்டுகிறது.

அச்சுறுத்தல் வேட்டையாடுபவர்கள், பயன்பாட்டின் மேனிஃபெஸ்ட் கோப்பை ஆய்வு செய்வதன் மூலம் அதன் செயல்பாட்டைக் கண்டறிவதன் மூலம் பொதுவாக தங்கள் பகுப்பாய்வைத் தொடங்குகிறார்கள் என்பதைப் புரிந்துகொள்வது, தீம்பொருளுக்குப் பொறுப்பான தீங்கிழைக்கும் செயல்பாட்டாளர்கள் இந்த செயல்முறையை கணிசமாக சிக்கலாக்க மூன்று தனித்துவமான நுட்பங்களைப் பயன்படுத்துவதைக் காணலாம்.

SoumniBot மொபைல் மால்வேர் கண்டறிதலைத் தவிர்க்க புதுமையான நடவடிக்கைகளை எடுக்கிறது

ஆரம்ப அணுகுமுறையானது லிப்ஜிபார்ச்சிவ் நூலகத்தைப் பயன்படுத்தி APK இன் மேனிஃபெஸ்ட் கோப்பைத் திறக்கும் போது சுருக்க முறை மதிப்பைக் கையாளுவதை உள்ளடக்கியது. இந்த முறை நூலகத்தின் நடத்தையைப் பயன்படுத்துகிறது, இது 0x0000 அல்லது 0x0008 ஐத் தவிர வேறு எந்த மதிப்பையும் சுருக்கப்படாததாகக் கருதுகிறது, டெவலப்பர்கள் 8 ஐத் தவிர எந்த மதிப்பையும் செருகவும் மற்றும் சுருக்கப்படாத தரவை எழுதவும் அனுமதிக்கிறது.

சரியான சுருக்க முறை சரிபார்ப்புடன் அன்பேக்கர்களால் செல்லாததாகக் கருதப்பட்டாலும், Android APK பாகுபடுத்தி, அப்ளிகேஷனை நிறுவ அனுமதிக்கும், அத்தகைய வெளிப்பாடுகளை சரியாக விளக்குகிறது. ஏப்ரல் 2023 முதல் பல்வேறு ஆண்ட்ராய்டு வங்கி ட்ரோஜான்களுடன் தொடர்புடைய அச்சுறுத்தல் நடிகர்களால் இந்த நுட்பம் பின்பற்றப்பட்டது குறிப்பிடத்தக்கது.

இரண்டாவதாக, SoumniBot காப்பகப்படுத்தப்பட்ட மேனிஃபெஸ்ட் கோப்பு அளவை உருவாக்குகிறது, இது உண்மையான அளவை விட அதிகமான மதிப்பை அளிக்கிறது. இதன் விளைவாக, 'சுருக்கப்படாத' கோப்பு நேரடியாக நகலெடுக்கப்படுகிறது, மேனிஃபெஸ்ட் பாகுபடுத்தி உபரியான 'மேலே' தரவைப் புறக்கணிக்கிறது. கடுமையான மேனிஃபெஸ்ட் பாகுபடுத்திகள் அத்தகைய கோப்புகளை விளக்குவதில் தோல்வியுற்றாலும், ஆண்ட்ராய்டு பாகுபடுத்தும் குறைபாடுள்ள மேனிஃபெஸ்ட்டை பிழைகள் சந்திக்காமல் கையாளும்.

இறுதி யுக்தியானது, நீண்ட எக்ஸ்எம்எல் பெயர்வெளிப் பெயர்களை மேனிஃபெஸ்ட் கோப்பிற்குள் பயன்படுத்துவதை உள்ளடக்கி, அவற்றைச் செயலாக்குவதற்கு பகுப்பாய்வுக் கருவிகளுக்குப் போதுமான நினைவகத்தை ஒதுக்குவதை சிக்கலாக்கும். இருப்பினும், மேனிஃபெஸ்ட் பாகுபடுத்தி பெயர்வெளிகளை புறக்கணிக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது, எனவே எந்த பிழையும் இல்லாமல் கோப்பை செயலாக்குகிறது.

SoumniBot, மீறப்பட்ட ஆண்ட்ராய்டு சாதனங்களில் உணர்திறன் தரவைக் குறிவைக்கிறது

செயல்படுத்தப்பட்ட பிறகு, MQTT செய்தியிடல் நெறிமுறை மூலம் சேகரிக்கப்பட்ட தரவை அனுப்புவதற்கும் கட்டளைகளைப் பெறுவதற்கும் பயன்படுத்தப்படும் சேவையகங்களைப் பெறுவதற்கு SoumniBot அதன் உள்ளமைவுத் தரவை முன்பே அமைக்கப்பட்ட சேவையக முகவரியிலிருந்து மீட்டெடுக்கிறது.

ஒவ்வொரு 15 வினாடிகளுக்கும் தகவலைப் பதிவேற்றும் போது தொடர்ச்சியான செயல்பாட்டை உறுதிசெய்து, நிறுத்தப்பட்டால், ஒவ்வொரு 16 நிமிடங்களுக்கும் ஒரு பாதுகாப்பற்ற சேவையை செயல்படுத்துவதற்கு இது திட்டமிடப்பட்டுள்ளது. இந்தத் தரவு சாதன மெட்டாடேட்டா, தொடர்பு பட்டியல்கள், SMS செய்திகள், புகைப்படங்கள், வீடியோக்கள் மற்றும் நிறுவப்பட்ட பயன்பாடுகளின் பட்டியல் ஆகியவற்றை உள்ளடக்கியது.

கூடுதலாக, தீம்பொருள் தொடர்புகளைச் சேர்த்தல் மற்றும் அகற்றுதல், SMS செய்திகளை அனுப்புதல், அமைதியான பயன்முறையை மாற்றுதல் மற்றும் ஆண்ட்ராய்டின் பிழைத்திருத்த பயன்முறையை செயல்படுத்துதல் போன்ற செயல்பாடுகளைக் கொண்டுள்ளது. மேலும், இது அதன் பயன்பாட்டு ஐகானை மறைத்து, சாதனத்திலிருந்து நிறுவல் நீக்குவதற்கான எதிர்ப்பை அதிகரிக்கிறது.

SoumniBot இன் குறிப்பிடத்தக்க பண்புக்கூறு, '/NPKI/yessign' க்கு வழிவகுக்கும் பாதைகளைக் கொண்ட .key மற்றும் .der கோப்புகளுக்கான வெளிப்புற சேமிப்பக மீடியாவை ஸ்கேன் செய்யும் திறன் ஆகும், இது தென் கொரியாவால் அரசாங்க (GPKI), வங்கிக்காக வழங்கப்படும் டிஜிட்டல் கையொப்ப சான்றிதழ் சேவைக்கு ஒத்திருக்கிறது. மற்றும் ஆன்லைன் பங்குச் சந்தை (NPKI) நோக்கங்கள்.

இந்தக் கோப்புகள், கொரிய வங்கிகள் தங்கள் வாடிக்கையாளர்களுக்கு வழங்கிய டிஜிட்டல் சான்றிதழ்களைப் பிரதிநிதித்துவப்படுத்துகின்றன, ஆன்லைன் வங்கித் தளங்களில் உள்நுழைவதற்கு அல்லது வங்கிப் பரிவர்த்தனைகளைச் சரிபார்ப்பதற்குப் பயன்படுத்தப்படுகின்றன. ஆண்ட்ராய்டு பேங்கிங் மால்வேரில் இந்த நுட்பம் ஒப்பீட்டளவில் அசாதாரணமானது.