Il malware mobile SoumniBot prende di mira i dispositivi Android

Un trojan Android recentemente scoperto denominato SoumniBot è stato identificato sul campo prendendo di mira gli utenti della Corea del Sud sfruttando le vulnerabilità nella procedura di estrazione e analisi dei manifest.

Secondo i ricercatori, il malware si distingue per una tattica insolita volta a evitare l'analisi e il rilevamento, in particolare offuscando il manifest di Android.

SoumniBot viene fornito con tre diversi approcci di attacco

Ogni applicazione Android include un file XML manifest ("AndroidManifest.xml") nella directory principale, che descrive i componenti, le autorizzazioni e le funzionalità hardware e software richieste dell'app.

Riconoscendo che i cacciatori di minacce in genere iniziano la loro analisi esaminando il file manifest dell'app per comprenderne il comportamento, gli autori delle minacce dietro il malware hanno utilizzato tre diversi metodi per complicare questo processo.

Il primo metodo prevede l'utilizzo di un valore del metodo di compressione non valido durante la decompressione del file manifest dell'APK, sfruttando l'interpretazione della libreria libziparchive secondo cui qualsiasi valore diverso da 0x0000 o 0x0008 non è compresso.

Anche se un manifest come questo verrebbe considerato non valido da qualsiasi decompressore che implementi correttamente la convalida del metodo di compressione, il parser APK di Android lo riconosce come valido e consente l'installazione dell'applicazione.

È interessante notare che questo metodo è stato utilizzato da autori di minacce collegati a diversi trojan bancari Android dall'aprile 2023.

In secondo luogo, SoumniBot falsifica la dimensione del file manifest archiviato, fornendo un valore superiore alla dimensione effettiva. Di conseguenza, il file "non compresso" viene copiato direttamente, con il parser manifest che ignora i dati aggiuntivi "sovrapposti" che occupano lo spazio rimanente.

Secondo i ricercatori, qualsiasi parser manifest più rigoroso non sarebbe in grado di leggere un file del genere, mentre il parser Android gestisce il manifest non valido senza errori.

La tecnica finale prevede l'utilizzo di nomi lunghi di spazi dei nomi XML nel file manifest, complicando l'allocazione di memoria sufficiente da parte degli strumenti di analisi per elaborarli. Tuttavia, poiché il parser del manifest è programmato per ignorare gli spazi dei nomi, non si verificano errori durante la gestione dei file.

Una volta avviato, SoumniBot recupera le informazioni di configurazione da un indirizzo server predefinito per accedere ai server utilizzati per trasmettere i dati raccolti e ricevere comandi tramite il protocollo di messaggistica MQTT.

SoumniBot stabilisce un servizio dannoso sui dispositivi infetti

Il malware è programmato per avviare un servizio dannoso che si riavvia ogni 16 minuti se terminato e carica informazioni ogni 15 secondi, inclusi metadati del dispositivo, elenchi di contatti, messaggi SMS, foto, video e un elenco di app installate.

Inoltre, SoumniBot può manipolare i contatti, inviare messaggi SMS, attivare la modalità silenziosa e abilitare la modalità debug di Android, oltre a nascondere l'icona dell'app per ostacolare la disinstallazione dal dispositivo.

Una caratteristica notevole di SoumniBot è la sua capacità di cercare su supporti di archiviazione esterni file .key e .der contenenti percorsi a "/NPKI/yessign", che riguarda il servizio di certificati di firma digitale della Corea del Sud per enti governativi (GPKI), banche e servizi online borse valori (NPKI).