SoumniBot Mobile Malware

Một Trojan Android chưa từng được biết đến trước đây có tên là SoumniBot đã xuất hiện và đang tích cực nhắm mục tiêu vào người dùng ở Hàn Quốc. Nó khai thác các lỗ hổng trong quá trình trích xuất và phân tích cú pháp tệp kê khai. Điều khiến phần mềm độc hại này trở nên khác biệt là chiến lược độc đáo của nó nhằm tránh bị phát hiện và phân tích, chủ yếu thông qua việc làm xáo trộn tệp kê khai Android.

Mỗi ứng dụng Android đi kèm với một tệp XML kê khai có tên "AndroidManifest.xml" nằm trong thư mục gốc. Tệp này phác thảo các thành phần, quyền của ứng dụng cũng như các tính năng phần cứng và phần mềm cần thiết.

Hiểu rằng những kẻ săn mối đe dọa thường bắt đầu phân tích bằng cách kiểm tra tệp kê khai của ứng dụng để xác định chức năng của nó, các tác nhân độc hại chịu trách nhiệm về phần mềm độc hại đã được quan sát thấy sử dụng ba kỹ thuật riêng biệt để làm phức tạp đáng kể quá trình này.

Phần mềm độc hại di động SoumniBot thực hiện các biện pháp mới để tránh bị phát hiện

Cách tiếp cận ban đầu liên quan đến việc thao tác giá trị Phương thức nén trong quá trình giải nén tệp kê khai của APK bằng thư viện libziparchive. Phương pháp này khai thác hành vi của thư viện, coi bất kỳ giá trị nào ngoài 0x0000 hoặc 0x0008 là không nén, cho phép các nhà phát triển chèn bất kỳ giá trị nào ngoại trừ 8 và ghi dữ liệu không nén.

Mặc dù bị các trình giải nén xác thực phương pháp nén thích hợp coi là không hợp lệ, trình phân tích cú pháp APK của Android vẫn diễn giải chính xác các tệp kê khai đó, cho phép cài đặt ứng dụng. Đáng chú ý, kỹ thuật này đã được các tác nhân đe dọa liên quan đến nhiều Trojan ngân hàng Android khác nhau áp dụng kể từ tháng 4 năm 2023.

Thứ hai, SoumniBot chế tạo kích thước tệp kê khai được lưu trữ, hiển thị giá trị vượt quá kích thước thực tế. Do đó, tệp 'không nén' được sao chép trực tiếp, với trình phân tích cú pháp tệp kê khai sẽ bỏ qua dữ liệu 'lớp phủ' dư thừa. Mặc dù các trình phân tích cú pháp tệp kê khai chặt chẽ hơn sẽ không thể diễn giải các tệp như vậy, nhưng trình phân tích cú pháp Android sẽ xử lý tệp kê khai có sai sót mà không gặp phải lỗi.

Chiến thuật cuối cùng liên quan đến việc sử dụng các tên không gian tên XML dài trong tệp kê khai, làm phức tạp việc phân bổ đủ bộ nhớ cho các công cụ phân tích xử lý chúng. Tuy nhiên, trình phân tích cú pháp tệp kê khai được thiết kế để bỏ qua các không gian tên, do đó xử lý tệp mà không gây ra bất kỳ lỗi nào.

SoumniBot nhắm mục tiêu dữ liệu nhạy cảm trên các thiết bị Android bị vi phạm

Sau khi được kích hoạt, SoumniBot truy xuất dữ liệu cấu hình của nó từ địa chỉ máy chủ được đặt trước để thu thập các máy chủ được sử dụng để truyền dữ liệu đã thu thập và nhận lệnh thông qua giao thức nhắn tin MQTT.

Nó được lập trình để kích hoạt một dịch vụ không an toàn, khởi động lại sau mỗi 16 phút trong trường hợp bị chấm dứt, đảm bảo hoạt động liên tục trong khi tải lên thông tin cứ sau 15 giây. Dữ liệu này bao gồm siêu dữ liệu của thiết bị, danh sách liên hệ, tin nhắn SMS, ảnh, video và danh sách các ứng dụng đã cài đặt.

Ngoài ra, phần mềm độc hại còn có các chức năng như thêm và xóa danh bạ, gửi tin nhắn SMS, chuyển chế độ im lặng và kích hoạt chế độ gỡ lỗi của Android. Hơn nữa, nó có thể che giấu biểu tượng ứng dụng của mình, tăng cường khả năng chống gỡ cài đặt khỏi thiết bị.

Một thuộc tính đáng chú ý của SoumniBot là khả năng quét phương tiện lưu trữ bên ngoài để tìm các tệp .key và .der chứa đường dẫn đến '/NPKI/yessign', tương ứng với dịch vụ chứng chỉ chữ ký số do Hàn Quốc cung cấp cho chính phủ (GPKI), ngân hàng và mục đích trao đổi chứng khoán trực tuyến (NPKI).

Các tệp này đại diện cho chứng chỉ kỹ thuật số do ngân hàng Hàn Quốc cấp cho khách hàng của họ, được sử dụng để đăng nhập vào nền tảng ngân hàng trực tuyến hoặc xác minh các giao dịch ngân hàng. Kỹ thuật này tương đối phổ biến trong số các phần mềm độc hại ngân hàng trên Android.