El malware móvil SoumniBot se dirige a dispositivos Android

Se ha identificado en el campo un troyano de Android recientemente descubierto llamado SoumniBot que apunta a usuarios en Corea del Sur al explotar vulnerabilidades en el procedimiento para extraer y analizar manifiestos.

Según los investigadores, el malware se distingue por una táctica inusual para evitar el análisis y la detección, específicamente ofuscando el manifiesto de Android.

SoumniBot viene con tres enfoques de ataque diferentes

Cada aplicación de Android incluye un archivo XML de manifiesto ("AndroidManifest.xml") en su directorio raíz, que describe los componentes, los permisos y las características de hardware y software requeridas de la aplicación.

Al reconocer que los cazadores de amenazas normalmente inician su análisis examinando el archivo de manifiesto de la aplicación para comprender su comportamiento, los actores de amenazas detrás del malware han empleado tres métodos diferentes para complicar este proceso.

El primer método implica utilizar un valor del método de compresión no válido durante el descomprimido del archivo de manifiesto del APK, explotando la interpretación de la biblioteca libziparchive de que cualquier valor que no sea 0x0000 o 0x0008 está descomprimido.

Aunque un manifiesto como este sería considerado inválido por cualquier desempaquetador que implemente correctamente la validación del método de compresión, el analizador APK de Android lo reconoce como válido y permite que se instale la aplicación.

Cabe destacar que este método ha sido utilizado por actores de amenazas vinculados a varios troyanos bancarios de Android desde abril de 2023.

En segundo lugar, SoumniBot falsifica el tamaño del archivo de manifiesto archivado, proporcionando un valor superior al tamaño real. En consecuencia, el archivo "sin comprimir" se copia directamente y el analizador de manifiesto ignora los datos "superpuestos" adicionales que ocupan el espacio restante.

Según los investigadores, cualquier analizador de manifiestos más estricto no podría leer un archivo como ese, mientras que el analizador de Android maneja el manifiesto no válido sin ningún error.

La técnica final implica el uso de nombres de espacios de nombres XML largos en el archivo de manifiesto, lo que complica la asignación de suficiente memoria por parte de las herramientas de análisis para procesarlos. Sin embargo, dado que el analizador de manifiesto está programado para ignorar los espacios de nombres, no se producen errores durante el manejo de archivos.

Una vez iniciado, SoumniBot obtiene su información de configuración de una dirección de servidor predefinida para acceder a los servidores utilizados para transmitir los datos recopilados y recibir comandos a través del protocolo de mensajería MQTT.

SoumniBot establece un servicio malicioso en dispositivos infectados

El malware está programado para iniciar un servicio malicioso que se reinicia cada 16 minutos si se finaliza y carga información cada 15 segundos, incluidos metadatos del dispositivo, listas de contactos, mensajes SMS, fotos, videos y una lista de aplicaciones instaladas.

Además, SoumniBot puede manipular contactos, enviar mensajes SMS, alternar el modo silencioso y habilitar el modo de depuración de Android, así como ocultar el ícono de su aplicación para impedir la desinstalación del dispositivo.

Una característica notable de SoumniBot es su capacidad para buscar en medios de almacenamiento externos archivos .key y .der que contengan rutas a "/NPKI/yessign", que pertenece al servicio de certificados de firma digital de Corea del Sur para entidades gubernamentales (GPKI), bancos y servicios en línea. bolsas de valores (NPKI).