„SoumniBot Mobile“ kenkėjiška programa skirta „Android“ įrenginiams
Naujai atrastas „Android“ trojos arklys, pavadintas „SoumniBot“, buvo identifikuotas lauke, nukreiptame į vartotojus Pietų Korėjoje, išnaudojant aprašų ištraukimo ir analizavimo procedūros spragas.
Tyrėjų teigimu, kenkėjiška programa išsiskiria neįprasta taktika, siekiant išvengti analizės ir aptikimo, ypač užtemdant „Android“ manifestą.
„SoumniBot“ siūlo tris skirtingus puolimo būdus
Kiekvienos „Android“ programos šakniniame kataloge yra aprašomasis XML failas („AndroidManifest.xml“), kuriame aprašomi programos komponentai, leidimai ir reikalingos aparatinės bei programinės įrangos funkcijos.
Suprasdami, kad grėsmių ieškotojai paprastai pradeda savo analizę išnagrinėdami programos aprašo failą, kad suprastų jos elgesį, kenkėjiškų programų grėsmės veikėjai panaudojo tris skirtingus metodus, kad apsunkintų šį procesą.
Pirmasis metodas apima netinkamos glaudinimo metodo vertės naudojimą išpakuojant APK aprašo failą, pasinaudojant libziparchive bibliotekos interpretacija, kad bet kuri kita reikšmė, išskyrus 0x0000 arba 0x0008, yra nesuspausta.
Nors bet kuris išpakuotojas, tinkamai įdiegęs glaudinimo metodo patvirtinimą, tokį manifestą laikytų negaliojančiu, „Android“ APK analizatorius atpažįsta jį kaip galiojantį ir leidžia įdiegti programą.
Pažymėtina, kad šį metodą nuo 2023 m. balandžio mėn. naudojo grėsmės veikėjai, susiję su keliais „Android“ bankininkystės Trojos arkliais.
Antra, „SoumniBot“ suklastoja archyvuoto manifesto failo dydį, pateikdamas vertę, didesnę nei tikrasis dydis. Todėl „nesuspaustas“ failas yra tiesiogiai nukopijuojamas, o aprašo analizatorius neatsižvelgia į papildomus „perdangos“ duomenis, kurie užima likusią vietą.
Tyrėjų teigimu, bet kokie griežtesni aprašų analizatoriai negalėtų nuskaityti tokio failo, o „Android“ analizatorius apdoroja netinkamą aprašą be klaidų.
Paskutinis metodas apima ilgų XML vardų erdvės pavadinimų naudojimą manifesto faile, todėl analizės įrankiais apsunkina pakankamai atminties paskirstymą, kad juos apdorotų. Tačiau, kadangi aprašo analizatorius yra užprogramuotas ignoruoti vardų sritis, tvarkant failus klaidų neįvyksta.
Paleidęs „SoumniBot“ gauna savo konfigūracijos informaciją iš iš anksto nustatyto serverio adreso, kad pasiektų serverius, naudojamus surinktiems duomenims perduoti ir komandoms gauti per MQTT pranešimų protokolą.
„SoumniBot“ sukuria kenkėjišką paslaugą užkrėstuose įrenginiuose
Kenkėjiška programa užprogramuota inicijuoti kenkėjišką paslaugą, kuri nutraukus veiklą paleidžiama iš naujo kas 16 minučių ir kas 15 sekundžių įkelia informaciją, įskaitant įrenginio metaduomenis, kontaktų sąrašus, SMS žinutes, nuotraukas, vaizdo įrašus ir įdiegtų programų sąrašą.
Be to, „SoumniBot“ gali valdyti kontaktus, siųsti SMS žinutes, perjungti tylųjį režimą ir įjungti „Android“ derinimo režimą, taip pat paslėpti programos piktogramą, kad būtų išvengta pašalinimo iš įrenginio.
Ypatinga „SoumniBot“ savybė yra galimybė ieškoti išorinėse laikmenose .key ir .der failų su keliais į „/NPKI/yessign“, kuris yra susijęs su Pietų Korėjos skaitmeninio parašo sertifikato paslauga, skirta vyriausybinėms institucijoms (GPKI), bankams ir internetu. vertybinių popierių biržose (NPKI).
