SoumniBot Mobile Malware retter sig mod Android-enheder
En nyopdaget Android-trojan ved navn SoumniBot er blevet identificeret i felten, der målretter mod brugere i Sydkorea ved at udnytte sårbarheder i proceduren for udtrækning og parsing af manifester.
Ifølge forskere er malwaren kendetegnet ved en usædvanlig taktik for at undgå analyse og detektion, specifikt ved at sløre Android-manifestet.
SoumniBot kommer med tre forskellige angrebstilgange
Hver Android-applikation indeholder en manifest XML-fil ("AndroidManifest.xml") i sin rodmappe, som beskriver appens komponenter, tilladelser og nødvendige hardware- og softwarefunktioner.
I erkendelse af, at trusselsjægere typisk starter deres analyse ved at undersøge appens manifestfil for at forstå dens adfærd, har trusselsaktørerne bag malwaren brugt tre forskellige metoder til at komplicere denne proces.
Den første metode involverer at bruge en ugyldig komprimeringsmetodeværdi under udpakningen af APK'ens manifestfil, udnyttelse af libziparchive-bibliotekets fortolkning af, at enhver anden værdi end 0x0000 eller 0x0008 er ukomprimeret.
Selvom et manifest som dette ville blive betragtet som ugyldigt af enhver udpakker, der korrekt implementerer komprimeringsmetodevalidering, genkender Android APK-parseren det som gyldigt og tillader, at applikationen installeres.
Det er bemærkelsesværdigt, at denne metode er blevet brugt af trusselsaktører knyttet til flere Android-banktrojanske heste siden april 2023.
For det andet forfalsker SoumniBot den arkiverede manifestfilstørrelse og giver en værdi højere end den faktiske størrelse. Som følge heraf kopieres den "ukomprimerede" fil direkte, hvor manifest-parseren ser bort fra de yderligere "overlay"-data, der optager den resterende plads.
Ifølge forskere ville enhver strengere manifest-parsere ikke være i stand til at læse en fil som den, mens Android-parseren håndterer det ugyldige manifest uden fejl.
Den sidste teknik involverer brug af lange XML-navneområdenavne i manifestfilen, hvilket komplicerer tildelingen af tilstrækkelig hukommelse med analyseværktøjer til at behandle dem. Men da manifest-parseren er programmeret til at ignorere navneområder, opstår der ingen fejl under filhåndtering.
Når den er lanceret, henter SoumniBot sin konfigurationsinformation fra en foruddefineret serveradresse for at få adgang til de servere, der bruges til at sende indsamlede data og modtage kommandoer via MQTT-meddelelsesprotokollen.
SoumniBot etablerer ondsindet service på inficerede enheder
Malwaren er programmeret til at starte en ondsindet tjeneste, der genstarter hvert 16. minut, hvis den afsluttes, og den uploader oplysninger hvert 15. sekund, inklusive enhedsmetadata, kontaktlister, SMS-beskeder, fotos, videoer og en liste over installerede apps.
Derudover kan SoumniBot manipulere kontakter, sende SMS-beskeder, skifte lydløs tilstand og aktivere Androids fejlretningstilstand samt skjule dets app-ikon for at forhindre afinstallation fra enheden.
Et bemærkelsesværdigt træk ved SoumniBot er dets evne til at søge i eksterne lagermedier efter .key- og .der-filer, der indeholder stier til "/NPKI/yessign", som vedrører Sydkoreas digitale signaturcertifikattjeneste for statslige enheder (GPKI), banker og online børser (NPKI).
