SoumniBot Mobile Malware retter seg mot Android-enheter

En nyoppdaget Android-trojaner kalt SoumniBot har blitt identifisert i felten rettet mot brukere i Sør-Korea ved å utnytte sårbarheter i prosedyren for å trekke ut og analysere manifester.

Ifølge forskere utmerker skadelig programvare seg ved en uvanlig taktikk for å unngå analyse og oppdagelse, spesielt ved å tilsløre Android-manifestet.

SoumniBot kommer med tre forskjellige angrepstilnærminger

Hver Android-applikasjon inkluderer en manifest XML-fil ("AndroidManifest.xml") i rotkatalogen, som skisserer appens komponenter, tillatelser og nødvendige maskinvare- og programvarefunksjoner.

I erkjennelse av at trusseljegere vanligvis starter analysen sin ved å undersøke appens manifestfil for å forstå dens oppførsel, har trusselaktørene bak skadevaren brukt tre forskjellige metoder for å komplisere denne prosessen.

Den første metoden innebærer å bruke en ugyldig verdi for komprimeringsmetoden under utpakkingen av APK-ens manifestfil, og utnytte libziparchive-bibliotekets tolkning om at enhver annen verdi enn 0x0000 eller 0x0008 er ukomprimert.

Selv om et manifest som dette vil bli ansett som ugyldig av enhver utpakker som implementerer validering av komprimeringsmetode på riktig måte, gjenkjenner Android APK-parseren det som gyldig og lar applikasjonen installeres.

Det er bemerkelsesverdig at denne metoden har blitt brukt av trusselaktører knyttet til flere Android-banktrojanere siden april 2023.

For det andre forfalsker SoumniBot den arkiverte manifestfilstørrelsen, og gir en verdi høyere enn den faktiske størrelsen. Følgelig blir den "ukomprimerte" filen direkte kopiert, mens manifest-parseren ser bort fra de ekstra "overleggs"-dataene som opptar den gjenværende plassen.

Ifølge forskere vil ikke strengere manifest-parsere kunne lese en fil som dette, mens Android-parseren håndterer det ugyldige manifestet uten feil.

Den siste teknikken innebærer å bruke lange XML-navneområder i manifestfilen, noe som kompliserer tildelingen av tilstrekkelig minne med analyseverktøy for å behandle dem. Men siden manifest-parseren er programmert til å ignorere navneområder, oppstår ingen feil under filhåndtering.

Når den er lansert, henter SoumniBot sin konfigurasjonsinformasjon fra en forhåndsdefinert serveradresse for å få tilgang til serverne som brukes til å overføre innsamlede data og motta kommandoer via MQTT-meldingsprotokollen.

SoumniBot etablerer ondsinnet tjeneste på infiserte enheter

Skadevaren er programmert til å starte en ondsinnet tjeneste som starter på nytt hvert 16. minutt hvis den avsluttes, og den laster opp informasjon hvert 15. sekund, inkludert enhetsmetadata, kontaktlister, SMS-meldinger, bilder, videoer og en liste over installerte apper.

I tillegg kan SoumniBot manipulere kontakter, sende SMS-meldinger, bytte stille modus og aktivere Androids feilsøkingsmodus, samt skjule appikonet for å hindre avinstallering fra enheten.

Et bemerkelsesverdig trekk ved SoumniBot er evnen til å søke i eksterne lagringsmedier etter .key- og .der-filer som inneholder stier til "/NPKI/yessign", som gjelder Sør-Koreas digitale signatursertifikattjeneste for statlige enheter (GPKI), banker og online børser (NPKI).