Malware móvel SoumniBot tem como alvo dispositivos Android

Um trojan Android recém-descoberto chamado SoumniBot foi identificado em campo visando usuários na Coreia do Sul, explorando vulnerabilidades no procedimento de extração e análise de manifestos.

Segundo os pesquisadores, o malware se distingue por uma tática incomum para evitar análise e detecção, especificamente ofuscando o manifesto do Android.

SoumniBot vem com três abordagens de ataque diferentes

Cada aplicativo Android inclui um arquivo XML de manifesto ("AndroidManifest.xml") em seu diretório raiz, que descreve os componentes, permissões e recursos de hardware e software necessários do aplicativo.

Reconhecendo que os caçadores de ameaças normalmente iniciam sua análise examinando o arquivo de manifesto do aplicativo para entender seu comportamento, os agentes da ameaça por trás do malware empregaram três métodos diferentes para complicar esse processo.

O primeiro método envolve a utilização de um valor inválido do método de compactação durante a descompactação do arquivo de manifesto do APK, explorando a interpretação da biblioteca libziparchive de que qualquer valor diferente de 0x0000 ou 0x0008 é descompactado.

Embora um manifesto como este possa ser considerado inválido por qualquer descompactador que implemente corretamente a validação do método de compactação, o analisador APK do Android o reconhece como válido e permite que o aplicativo seja instalado.

Vale ressaltar que este método tem sido utilizado por agentes de ameaças vinculados a vários trojans bancários Android desde abril de 2023.

Em segundo lugar, o SoumniBot falsifica o tamanho do arquivo de manifesto arquivado, fornecendo um valor superior ao tamanho real. Conseqüentemente, o arquivo “descompactado” é copiado diretamente, com o analisador de manifesto desconsiderando os dados “sobrepostos” adicionais que ocupam o espaço restante.

Segundo os pesquisadores, qualquer analisador de manifesto mais rigoroso não seria capaz de ler um arquivo como esse, enquanto o analisador Android lida com o manifesto inválido sem erros.

A técnica final envolve o uso de nomes de namespace XML longos no arquivo de manifesto, complicando a alocação de memória suficiente pelas ferramentas de análise para processá-los. No entanto, como o analisador de manifesto está programado para ignorar namespaces, nenhum erro ocorre durante a manipulação de arquivos.

Uma vez iniciado, o SoumniBot busca suas informações de configuração de um endereço de servidor predefinido para acessar os servidores usados para transmitir dados coletados e receber comandos por meio do protocolo de mensagens MQTT.

SoumniBot estabelece serviço malicioso em dispositivos infectados

O malware está programado para iniciar um serviço malicioso que reinicia a cada 16 minutos se for encerrado e carrega informações a cada 15 segundos, incluindo metadados do dispositivo, listas de contatos, mensagens SMS, fotos, vídeos e uma lista de aplicativos instalados.

Além disso, SoumniBot pode manipular contatos, enviar mensagens SMS, alternar o modo silencioso e ativar o modo de depuração do Android, bem como ocultar o ícone do aplicativo para impedir a desinstalação do dispositivo.

Um recurso notável do SoumniBot é sua capacidade de pesquisar em mídias de armazenamento externas arquivos .key e .der contendo caminhos para "/NPKI/yessign", que pertence ao serviço de certificado de assinatura digital da Coreia do Sul para entidades governamentais (GPKI), bancos e serviços online. bolsas de valores (NPKI).