SoumniBot 行動惡意軟體

一種名為 SoumniBot 的以前未知的 Android 木馬已經出現，並且正在積極針對韓國用戶。它利用清單提取和解析過程中的漏洞。該惡意軟體的獨特之處在於其獨特的策略，主要是透過混淆 Android 清單檔案來避免偵測和分析。

每個 Android 應用程式都附帶一個名為「AndroidManifest.xml」的清單 XML 文件，該文件位於根目錄中。該文件概述了應用程式的元件、權限以及必要的硬體和軟體功能。

了解威脅搜尋者通常會透過檢查應用程式的清單檔案以確定其功能來啟動分析，據觀察，負責惡意軟體的惡意行為者利用三種不同的技術使這一過程顯著複雜化。

SoumniBot 行動惡意軟體採取新穎措施來避免偵測

最初的方法涉及使用 libziparchive 庫解壓縮 APK 清單檔案期間操作壓縮方法值。此方法利用了庫的行為，該行為將 0x0000 或 0x0008 以外的任何值視為未壓縮，允許開發人員插入除 8 之外的任何值並寫入未壓縮的資料。

儘管透過正確的壓縮方法驗證，解包程式認為該清單無效，但 Android APK 解析器仍會正確解釋此類清單，從而允許安裝應用程式。值得注意的是，自 2023 年 4 月以來，與各種 Android 銀行木馬相關的威脅行為者已經採用了這種技術。

其次，SoumniBot 偽造存檔清單檔案大小，呈現超出實際大小的值。因此，直接複製“未壓縮”文件，而清單解析器忽略多餘的“覆蓋”資料。雖然更嚴格的清單解析器將無法解釋此類文件，但 Android 解析器可以處理有缺陷的清單而不會遇到錯誤。

最後的策略涉及在清單檔案中使用冗長的 XML 命名空間名稱，這使得為分析工具處理它們而分配足夠的記憶體變得複雜。然而，清單解析器被設計為忽略命名空間，因此處理檔案時不會引發任何錯誤。

SoumniBot 針對洩漏的 Android 裝置上的敏感數據

啟動後，SoumniBot 從預設的伺服器位址檢索其配置數據，以取得用於透過 MQTT 訊息協定傳輸收集的數據和接收命令的伺服器。

它被編程為啟動不安全的服務，在終止時每 16 分鐘重新啟動一次，確保連續運行，同時每 15 秒上傳一次訊息。這些資料包括裝置元資料、聯絡人清單、簡訊、照片、影片和已安裝應用程式的清單。

此外，該惡意軟體還具有新增和刪除聯絡人、發送簡訊、切換靜默模式以及啟動 Android 偵錯模式等功能。此外，它還可以隱藏其應用程式圖標，從而增強其對從設備卸載的抵抗力。

SoumniBot 的一個顯著屬性是它能夠掃描外部儲存媒體中包含指向「/NPKI/yessign」路徑的 .key 和 .der 文件，該文件對應於韓國為政府 (GPKI)、銀行業提供的數位簽章憑證服務和線上證券交易所(NPKI) 目的。

這些文件代表韓國銀行向客戶頒發的數位證書，用於登入網路銀行平台或驗證銀行交易。這種技術在 Android 銀行惡意軟體中相對不常見。