Το SoumniBot Mobile Malware στοχεύει συσκευές Android
Ένας νέος trojan Android που ανακαλύφθηκε με το όνομα SoumniBot εντοπίστηκε στο πεδίο που στοχεύει χρήστες στη Νότια Κορέα εκμεταλλευόμενος ευπάθειες στη διαδικασία εξαγωγής και ανάλυσης δηλώσεων.
Σύμφωνα με ερευνητές, το κακόβουλο λογισμικό διακρίνεται από μια ασυνήθιστη τακτική για την αποφυγή ανάλυσης και ανίχνευσης, ειδικά με τη συσκότιση του μανιφέστου Android.
Το SoumniBot έρχεται με τρεις διαφορετικές προσεγγίσεις επίθεσης
Κάθε εφαρμογή Android περιλαμβάνει ένα αρχείο μανιφέστου XML ("AndroidManifest.xml") στον ριζικό κατάλογο, ο οποίος περιγράφει τα στοιχεία, τα δικαιώματα και τις απαιτούμενες λειτουργίες υλικού και λογισμικού της εφαρμογής.
Αναγνωρίζοντας ότι οι κυνηγοί απειλών συνήθως ξεκινούν την ανάλυσή τους εξετάζοντας το αρχείο δήλωσης της εφαρμογής για να κατανοήσουν τη συμπεριφορά της, οι φορείς απειλών πίσω από το κακόβουλο λογισμικό έχουν χρησιμοποιήσει τρεις διαφορετικές μεθόδους για να περιπλέξουν αυτήν τη διαδικασία.
Η πρώτη μέθοδος περιλαμβάνει τη χρήση μιας μη έγκυρης τιμής μεθόδου συμπίεσης κατά την αποσυσκευασία του αρχείου δήλωσης του APK, εκμεταλλευόμενη την ερμηνεία της βιβλιοθήκης libziparchive ότι οποιαδήποτε άλλη τιμή εκτός από 0x0000 ή 0x0008 δεν είναι συμπιεσμένη.
Αν και ένα μανιφέστο σαν αυτό θα θεωρηθεί άκυρο από οποιοδήποτε πρόγραμμα αποσυσκευασίας που εφαρμόζει σωστά την επικύρωση της μεθόδου συμπίεσης, ο αναλυτής APK Android το αναγνωρίζει ως έγκυρο και επιτρέπει την εγκατάσταση της εφαρμογής.
Αξίζει να σημειωθεί ότι αυτή η μέθοδος έχει χρησιμοποιηθεί από παράγοντες απειλών που συνδέονται με αρκετούς trojan τραπεζικών Android από τον Απρίλιο του 2023.
Δεύτερον, το SoumniBot παραποιεί το μέγεθος του αρχειοθετημένου αρχείου δήλωσης, παρέχοντας μια τιμή μεγαλύτερη από το πραγματικό μέγεθος. Κατά συνέπεια, το "ασυμπίεστο" αρχείο αντιγράφεται απευθείας, με τον αναλυτή μανιφέστου να αγνοεί τα πρόσθετα δεδομένα "επικάλυψης" που καταλαμβάνουν τον υπόλοιπο χώρο.
Σύμφωνα με τους ερευνητές, οποιοσδήποτε πιο αυστηρός αναλυτής δήλωσης δεν θα μπορούσε να διαβάσει ένα αρχείο όπως αυτό, ενώ ο αναλυτής Android χειρίζεται το μη έγκυρο μανιφέστο χωρίς σφάλματα.
Η τελική τεχνική περιλαμβάνει τη χρήση μεγάλων ονομάτων χώρων ονομάτων XML στο αρχείο δήλωσης, περιπλέκοντας την κατανομή επαρκούς μνήμης από εργαλεία ανάλυσης για την επεξεργασία τους. Ωστόσο, δεδομένου ότι ο αναλυτής μανιφέστου είναι προγραμματισμένος να αγνοεί τους χώρους ονομάτων, δεν παρουσιάζονται σφάλματα κατά τη διαχείριση αρχείων.
Μόλις ξεκινήσει, το SoumniBot ανακτά τις πληροφορίες διαμόρφωσής του από μια προκαθορισμένη διεύθυνση διακομιστή για πρόσβαση στους διακομιστές που χρησιμοποιούνται για τη μετάδοση συλλεγόμενων δεδομένων και τη λήψη εντολών μέσω του πρωτοκόλλου μηνυμάτων MQTT.
Το SoumniBot δημιουργεί κακόβουλη υπηρεσία σε μολυσμένες συσκευές
Το κακόβουλο λογισμικό έχει προγραμματιστεί να εκκινεί μια κακόβουλη υπηρεσία που επανεκκινείται κάθε 16 λεπτά εάν τερματιστεί και ανεβάζει πληροφορίες κάθε 15 δευτερόλεπτα, συμπεριλαμβανομένων μεταδεδομένων συσκευής, λιστών επαφών, μηνυμάτων SMS, φωτογραφιών, βίντεο και λίστας εγκατεστημένων εφαρμογών.
Επιπλέον, το SoumniBot μπορεί να χειριστεί τις επαφές, να στείλει μηνύματα SMS, να αλλάξει τη σιωπηλή λειτουργία και να ενεργοποιήσει τη λειτουργία εντοπισμού σφαλμάτων του Android, καθώς και να κρύψει το εικονίδιο της εφαρμογής του για να εμποδίσει την απεγκατάσταση από τη συσκευή.
Ένα αξιοσημείωτο χαρακτηριστικό του SoumniBot είναι η ικανότητά του να αναζητά εξωτερικά μέσα αποθήκευσης για αρχεία .key και .der που περιέχουν διαδρομές προς το "/NPKI/yessign", το οποίο σχετίζεται με την υπηρεσία πιστοποιητικών ψηφιακής υπογραφής της Νότιας Κορέας για κυβερνητικούς φορείς (GPKI), τράπεζες και στο διαδίκτυο χρηματιστήρια (NPKI).
