SoumniBot మొబైల్ మాల్వేర్

సౌమ్నిబాట్ అని పిలువబడే మునుపు తెలియని Android ట్రోజన్ ఉద్భవించింది మరియు దక్షిణ కొరియాలోని వినియోగదారులను చురుకుగా లక్ష్యంగా చేసుకుంటోంది. ఇది మానిఫెస్ట్ వెలికితీత మరియు అన్వయించే ప్రక్రియలోని దుర్బలత్వాలను ఉపయోగించుకుంటుంది. ప్రధానంగా ఆండ్రాయిడ్ మానిఫెస్ట్ ఫైల్‌ను అస్పష్టం చేయడం ద్వారా గుర్తించడం మరియు విశ్లేషణను నివారించే దాని ప్రత్యేక వ్యూహం ఈ మాల్వేర్‌ను వేరు చేస్తుంది.

ప్రతి Android అప్లికేషన్ రూట్ డైరెక్టరీలో ఉన్న "AndroidManifest.xml" అనే మానిఫెస్ట్ XML ఫైల్‌తో కలిసి ఉంటుంది. ఈ ఫైల్ అప్లికేషన్ యొక్క భాగాలు, అనుమతులు మరియు అవసరమైన హార్డ్‌వేర్ మరియు సాఫ్ట్‌వేర్ లక్షణాలను వివరిస్తుంది.

బెదిరింపు వేటగాళ్ళు సాధారణంగా అప్లికేషన్ యొక్క మానిఫెస్ట్ ఫైల్‌ని దాని కార్యాచరణను నిర్ధారించడం ద్వారా వారి విశ్లేషణను ప్రారంభిస్తారని అర్థం చేసుకోవడం, మాల్వేర్‌కు బాధ్యత వహించే హానికరమైన నటులు ఈ ప్రక్రియను గణనీయంగా క్లిష్టతరం చేయడానికి మూడు విభిన్న పద్ధతులను ఉపయోగించడం గమనించబడింది.

SoumniBot మొబైల్ మాల్వేర్ గుర్తింపును నివారించడానికి కొత్త చర్యలు తీసుకుంటుంది

ప్రారంభ విధానంలో లిబ్జిపార్చివ్ లైబ్రరీని ఉపయోగించి APK యొక్క మానిఫెస్ట్ ఫైల్‌ను అన్‌ప్యాక్ చేసే సమయంలో కంప్రెషన్ పద్ధతి విలువను మార్చడం ఉంటుంది. ఈ పద్ధతి లైబ్రరీ యొక్క ప్రవర్తనను దోపిడీ చేస్తుంది, ఇది 0x0000 లేదా 0x0008 కాకుండా ఏదైనా ఇతర విలువను కంప్రెస్డ్‌గా పరిగణిస్తుంది, డెవలపర్‌లు 8 తప్ప మరేదైనా విలువను చొప్పించడానికి మరియు కంప్రెస్ చేయని డేటాను వ్రాయడానికి అనుమతిస్తుంది.

సరైన కంప్రెషన్ పద్ధతి ధ్రువీకరణతో అన్‌ప్యాకర్లచే చెల్లనిదిగా పరిగణించబడినప్పటికీ, Android APK పార్సర్ అటువంటి మానిఫెస్ట్‌లను సరిగ్గా అన్వయిస్తుంది, అప్లికేషన్ యొక్క ఇన్‌స్టాలేషన్‌ను అనుమతిస్తుంది. ముఖ్యంగా, ఈ టెక్నిక్‌ని ఏప్రిల్ 2023 నుండి వివిధ ఆండ్రాయిడ్ బ్యాంకింగ్ ట్రోజన్‌లతో అనుబంధించిన ముప్పు నటులు అవలంబించారు.

రెండవది, సౌమ్నిబాట్ ఆర్కైవ్ చేయబడిన మానిఫెస్ట్ ఫైల్ పరిమాణాన్ని రూపొందించి, వాస్తవ పరిమాణాన్ని మించిన విలువను ప్రదర్శిస్తుంది. తత్ఫలితంగా, 'అన్‌కంప్రెస్డ్' ఫైల్ నేరుగా కాపీ చేయబడుతుంది, మానిఫెస్ట్ పార్సర్ మిగులు 'ఓవర్‌లే' డేటాను విస్మరిస్తుంది. కఠినమైన మానిఫెస్ట్ పార్సర్‌లు అటువంటి ఫైల్‌లను అర్థం చేసుకోవడంలో విఫలమైనప్పటికీ, ఆండ్రాయిడ్ పార్సర్ లోపభూయిష్ట మానిఫెస్ట్‌ను లోపాలను ఎదుర్కోకుండా నిర్వహిస్తుంది.

చివరి వ్యూహం మానిఫెస్ట్ ఫైల్‌లో సుదీర్ఘమైన XML నేమ్‌స్పేస్ పేర్లను ఉపయోగించడం, వాటిని ప్రాసెస్ చేయడానికి విశ్లేషణ సాధనాల కోసం తగినంత మెమరీ కేటాయింపును క్లిష్టతరం చేయడం. ఏదేమైనప్పటికీ, మానిఫెస్ట్ పార్సర్ నేమ్‌స్పేస్‌లను విస్మరించడానికి రూపొందించబడింది, అందువల్ల ఫైల్‌ను ఎటువంటి లోపాలు లేకుండా ప్రాసెస్ చేస్తుంది.

SoumniBot ఉల్లంఘించిన Android పరికరాలపై సున్నితమైన డేటాను లక్ష్యంగా చేసుకుంటుంది

సక్రియం చేయబడిన తర్వాత, సేకరించిన డేటాను ప్రసారం చేయడానికి మరియు MQTT మెసేజింగ్ ప్రోటోకాల్ ద్వారా ఆదేశాలను స్వీకరించడానికి ఉపయోగించే సర్వర్‌లను పొందేందుకు SoumniBot దాని కాన్ఫిగరేషన్ డేటాను ముందుగా సెట్ చేసిన సర్వర్ చిరునామా నుండి తిరిగి పొందుతుంది.

ఇది అసురక్షిత సేవను సక్రియం చేయడానికి ప్రోగ్రామ్ చేయబడింది, ఇది రద్దు చేయబడినప్పుడు ప్రతి 16 నిమిషాలకు పునఃప్రారంభించబడుతుంది, ప్రతి 15 సెకన్లకు సమాచారాన్ని అప్‌లోడ్ చేస్తున్నప్పుడు నిరంతర ఆపరేషన్‌ను నిర్ధారిస్తుంది. ఈ డేటా పరికర మెటాడేటా, సంప్రదింపు జాబితాలు, SMS సందేశాలు, ఫోటోలు, వీడియోలు మరియు ఇన్‌స్టాల్ చేసిన అప్లికేషన్‌ల జాబితాను కలిగి ఉంటుంది.

అదనంగా, మాల్వేర్ పరిచయాలను జోడించడం మరియు తీసివేయడం, SMS సందేశాలను పంపడం, నిశ్శబ్ద మోడ్‌ను టోగుల్ చేయడం మరియు Android డీబగ్ మోడ్‌ను సక్రియం చేయడం వంటి కార్యాచరణలను కలిగి ఉంటుంది. ఇంకా, ఇది పరికరం నుండి అన్‌ఇన్‌స్టాలేషన్‌కు దాని ప్రతిఘటనను మెరుగుపరుస్తుంది, దాని అప్లికేషన్ చిహ్నాన్ని దాచగలదు.

సౌమ్నిబాట్ యొక్క గుర్తించదగిన లక్షణం ఏమిటంటే, '/NPKI/yessign'కి దారితీసే మార్గాలను కలిగి ఉన్న .key మరియు .der ఫైల్‌ల కోసం బాహ్య నిల్వ మాధ్యమాన్ని స్కాన్ చేయగల సామర్థ్యం, ఇది ప్రభుత్వ (GPKI), బ్యాంకింగ్ కోసం దక్షిణ కొరియా అందించిన డిజిటల్ సంతకం సర్టిఫికేట్ సేవకు అనుగుణంగా ఉంటుంది. మరియు ఆన్‌లైన్ స్టాక్ ఎక్స్ఛేంజ్ (NPKI) ప్రయోజనాల కోసం.

ఈ ఫైల్‌లు ఆన్‌లైన్ బ్యాంకింగ్ ప్లాట్‌ఫారమ్‌లలోకి లాగిన్ చేయడానికి లేదా బ్యాంకింగ్ లావాదేవీలను ధృవీకరించడానికి ఉపయోగించే కొరియన్ బ్యాంకులు తమ కస్టమర్‌లకు జారీ చేసిన డిజిటల్ సర్టిఫికేట్‌లను సూచిస్తాయి. ఆండ్రాయిడ్ బ్యాంకింగ్ మాల్వేర్‌లలో ఈ టెక్నిక్ చాలా అసాధారణం.