SoumniBot 移动恶意软件

一种之前未知的 Android 木马程序 SoumniBot 已经出现，并积极针对韩国用户。它利用清单提取和解析过程中的漏洞。这种恶意软件的独特之处在于其独特的策略来避免检测和分析，主要是通过混淆 Android 清单文件。

每个 Android 应用程序都附带一个名为“AndroidManifest.xml”的清单 XML 文件，位于根目录中。此文件概述了应用程序的组件、权限以及必要的硬件和软件功能。

了解到威胁猎手通常通过检查应用程序的清单文件来确定其功能来启动他们的分析，已经观察到负责恶意软件的恶意行为者使用三种不同的技术来大大复杂化这一过程。

SoumniBot 移动恶意软件采取新措施避免被发现

最初的方法是使用 libziparchive 库在解压 APK 的清单文件时操纵压缩方法值。此方法利用了库的行为，该行为将 0x0000 或 0x0008 以外的任何值视为未压缩，从而允许开发人员插入除 8 之外的任何值并写入未压缩的数据。

尽管经过适当的压缩方法验证的解包器认为这些清单无效，但 Android APK 解析器仍能正确解释这些清单，从而允许安装该应用程序。值得注意的是，自 2023 年 4 月以来，与各种 Android 银行木马相关的威胁行为者就采用了这种技术。

其次，SoumniBot 会伪造存档清单文件的大小，使其显示的值超过实际大小。因此，会直接复制“未压缩”文件，而清单解析器会忽略多余的“覆盖”数据。虽然更严格的清单解析器无法解释此类文件，但 Android 解析器可以处理有缺陷的清单而不会遇到错误。

最后一种策略是在清单文件中使用冗长的 XML 命名空间名称，这会使分析工具分配足够的内存来处理它们变得复杂。但是，清单解析器被设计为忽略命名空间，因此处理文件时不会引发任何错误。

SoumniBot 瞄准被入侵的 Android 设备上的敏感数据

SoumniBot 被激活后，会从预设的服务器地址检索其配置数据，以获取用于通过 MQTT 消息协议传输收集的数据和接收命令的服务器。

它被编程为在终止时激活一项不安全的服务，该服务每 16 分钟重新启动一次，确保持续运行，同时每 15 秒上传一次信息。这些数据包括设备元数据、联系人列表、短信、照片、视频和已安装应用程序的名单。

此外，该恶意软件还具有添加和删除联系人、发送短信、切换静音模式和激活 Android 调试模式等功能。此外，它还可以隐藏其应用程序图标，从而增强其对设备卸载的抵抗力。

SoumniBot 的一个显著特点是它能够扫描外部存储介质，查找包含指向“/NPKI/yessign”路径的 .key 和 .der 文件，这对应于韩国为政府 (GPKI)、银行和在线证券交易所 (NPKI) 目的提供的数字签名证书服务。

这些文件是韩国银行向其客户颁发的数字证书，用于登录网上银行平台或验证银行交易。这种技术在 Android 银行恶意软件中相对少见。