A SoumniBot Mobile Malware Android-eszközöket célozza meg
A SoumniBot nevű, újonnan felfedezett Android trójai programot a dél-koreai felhasználókat célzó területen azonosították, mivel kihasználta a jegyzékek kibontására és elemzésére vonatkozó eljárás sebezhetőségeit.
A kutatók szerint a kártevőt szokatlan taktika jellemzi, hogy elkerülje az elemzést és az észlelést, különösen az Android-jegyzék elhomályosításával.
A SoumniBot három különböző támadási megközelítéssel érkezik
Minden Android-alkalmazás tartalmaz egy manifeszt XML-fájlt ("AndroidManifest.xml") a gyökérkönyvtárában, amely felvázolja az alkalmazás összetevőit, engedélyeit, valamint a szükséges hardver- és szoftverfunkciókat.
Felismerve, hogy a fenyegetésvadászok általában az alkalmazás jegyzékfájljának vizsgálatával kezdik az elemzést, hogy megértsék annak viselkedését, a kártevő mögött álló fenyegetés szereplői három különböző módszert alkalmaztak a folyamat bonyolítására.
Az első módszer érvénytelen tömörítési metódusértéket használ az APK jegyzékfájljának kicsomagolása során, kihasználva a libziparchive könyvtár értelmezését, amely szerint a 0x0000-tól és a 0x0008-tól eltérő bármely érték nincs tömörítve.
Bár az ehhez hasonló jegyzéket bármely kicsomagoló érvénytelennek tekinti, ha helyesen hajtja végre a tömörítési módszer érvényesítését, az Android APK elemzője érvényesnek ismeri fel, és lehetővé teszi az alkalmazás telepítését.
Figyelemre méltó, hogy ezt a módszert 2023 áprilisa óta alkalmazzák számos Android banki trójaihoz kapcsolódó fenyegetés szereplői.
Másodszor, a SoumniBot meghamisítja az archivált jegyzékfájl méretét, és a tényleges méretnél nagyobb értéket biztosít. Következésképpen a "tömörítetlen" fájl közvetlenül másolódik, a jegyzékelemző figyelmen kívül hagyja a fennmaradó helyet elfoglaló további "overlay" adatokat.
A kutatók szerint minden szigorúbb jegyzékelemző nem tudna ilyen fájlt olvasni, míg az Android elemző az érvénytelen jegyzéket hiba nélkül kezeli.
Az utolsó technika magában foglalja a hosszú XML névtérnevek használatát a jegyzékfájlban, ami megnehezíti az elegendő memória lefoglalását az elemzési eszközök által a feldolgozásukhoz. Mivel azonban a jegyzékelemző úgy van programozva, hogy figyelmen kívül hagyja a névtereket, nem történik hiba a fájlkezelés során.
Az indítást követően a SoumniBot lekéri konfigurációs információit egy előre meghatározott szervercímről, hogy hozzáférjen az összegyűjtött adatok továbbítására és parancsok fogadására használt szerverekhez az MQTT üzenetküldő protokollon keresztül.
A SoumniBot rosszindulatú szolgáltatást hoz létre a fertőzött eszközökön
A rosszindulatú program úgy van programozva, hogy rosszindulatú szolgáltatást indítson el, amely leállás esetén 16 percenként újraindul, és 15 másodpercenként tölt fel információkat, beleértve az eszköz metaadatait, névjegyzékeket, SMS-eket, fényképeket, videókat és a telepített alkalmazások listáját.
Ezenkívül a SoumniBot kezelheti a névjegyeket, SMS-eket küldhet, átkapcsolhatja a néma módot és engedélyezheti az Android hibakeresési módját, valamint elrejti az alkalmazás ikonját, hogy megakadályozza az eltávolítást az eszközről.
A SoumniBot figyelemreméltó tulajdonsága, hogy képes külső adathordozókon keresni a „/NPKI/yessign” elérési útját tartalmazó .key és .der fájlokat, amely Dél-Korea kormányzati szervek, bankok és online digitális aláírás-tanúsítvány szolgáltatására vonatkozik. tőzsdék (NPKI).