Mobile Malware SoumniBot zielt auf Android-Geräte ab

Im Feld wurde ein neu entdeckter Android-Trojaner namens SoumniBot identifiziert, der es auf Benutzer in Südkorea abgesehen hat, indem er Schwachstellen im Verfahren zum Extrahieren und Analysieren von Manifesten ausnutzt.

Den Forschern zufolge zeichnet sich die Malware durch eine ungewöhnliche Taktik aus, um Analyse und Erkennung zu vermeiden, insbesondere durch die Verschleierung des Android-Manifests.

SoumniBot bietet drei verschiedene Angriffsansätze

Jede Android-Anwendung enthält in ihrem Stammverzeichnis eine Manifest-XML-Datei („AndroidManifest.xml“), in der die Komponenten, Berechtigungen und erforderlichen Hardware- und Softwarefunktionen der App beschrieben werden.

Da Bedrohungsjäger ihre Analyse normalerweise mit der Untersuchung der Manifestdatei der App beginnen, um deren Verhalten zu verstehen, haben die Bedrohungsakteure hinter der Malware drei verschiedene Methoden eingesetzt, um diesen Prozess zu erschweren.

Bei der ersten Methode wird beim Entpacken der Manifestdatei des APK ein ungültiger Wert für die Komprimierungsmethode verwendet. Dabei wird die Interpretation der Bibliothek libziparchive ausgenutzt, dass jeder Wert außer 0x0000 oder 0x0008 unkomprimiert ist.

Obwohl ein solches Manifest von jedem Entpacker, der die Validierung der Komprimierungsmethode korrekt implementiert, als ungültig betrachtet würde, erkennt der Android-APK-Parser es als gültig und ermöglicht die Installation der Anwendung.

Es ist bemerkenswert, dass diese Methode seit April 2023 von Bedrohungsakteuren verwendet wird, die mit mehreren Android-Banking-Trojanern in Verbindung stehen.

Zweitens verfälscht SoumniBot die Größe der archivierten Manifestdatei und gibt einen höheren Wert als die tatsächliche Größe an. Folglich wird die „unkomprimierte“ Datei direkt kopiert, wobei der Manifestparser die zusätzlichen „Overlay“-Daten, die den verbleibenden Speicherplatz belegen, ignoriert.

Den Forschern zufolge wäre ein strengerer Manifestparser nicht in der Lage, eine solche Datei zu lesen, wohingegen der Android-Parser das ungültige Manifest ohne Fehler verarbeitet.

Bei der letzten Technik werden in der Manifestdatei lange XML-Namespace-Namen verwendet, was die Zuordnung von ausreichend Speicher durch Analysetools zur Verarbeitung erschwert. Da der Manifestparser jedoch so programmiert ist, dass Namespaces ignoriert werden, treten bei der Dateiverarbeitung keine Fehler auf.

Nach dem Start ruft SoumniBot seine Konfigurationsinformationen von einer vordefinierten Serveradresse ab, um auf die Server zuzugreifen, die zum Übertragen gesammelter Daten und Empfangen von Befehlen über das MQTT-Nachrichtenprotokoll verwendet werden.

SoumniBot richtet auf infizierten Geräten einen Schaddienst ein

Die Malware ist so programmiert, dass sie einen bösartigen Dienst initiiert, der alle 16 Minuten neu gestartet wird, wenn er beendet wird, und alle 15 Sekunden Informationen hochlädt, darunter Gerätemetadaten, Kontaktlisten, SMS-Nachrichten, Fotos, Videos und eine Liste der installierten Apps.

Darüber hinaus kann SoumniBot Kontakte manipulieren, SMS-Nachrichten senden, den Lautlosmodus umschalten, den Debug-Modus von Android aktivieren sowie sein App-Symbol verbergen, um die Deinstallation vom Gerät zu verhindern.

Ein bemerkenswertes Merkmal von SoumniBot ist seine Fähigkeit, externe Speichermedien nach .key- und .der-Dateien zu durchsuchen, die Pfade zu „/NPKI/yessign“ enthalten. Dies bezieht sich auf den südkoreanischen Dienst für digitale Signaturzertifikate für staatliche Stellen (GPKI), Banken und Online-Börsen (NPKI).