Мобильное вредоносное ПО SoumniBot нацелено на устройства Android

Недавно обнаруженный Android-троян под названием SoumniBot был идентифицирован в полевых условиях, нацеленный на пользователей в Южной Корее и использующий уязвимости в процедуре извлечения и анализа манифестов.

По мнению исследователей, вредоносная программа отличается необычной тактикой уклонения от анализа и обнаружения, в частности за счет запутывания манифеста Android.

SoumniBot предлагает три разных подхода к атаке

Каждое приложение Android включает XML-файл манифеста («AndroidManifest.xml») в своем корневом каталоге, в котором описаны компоненты приложения, разрешения и необходимые аппаратные и программные функции.

Понимая, что охотники за угрозами обычно начинают свой анализ с изучения файла манифеста приложения, чтобы понять его поведение, злоумышленники, стоящие за вредоносным ПО, использовали три разных метода, чтобы усложнить этот процесс.

Первый метод предполагает использование недопустимого значения метода сжатия во время распаковки файла манифеста APK, используя интерпретацию библиотеки libziparchive, согласно которой любое значение, кроме 0x0000 или 0x0008, является несжатым.

Хотя подобный манифест будет считаться недействительным любым распаковщиком, правильно реализующим проверку метода сжатия, анализатор Android APK распознает его как действительный и разрешает установку приложения.

Примечательно, что этот метод использовался злоумышленниками, связанными с несколькими банковскими троянами Android, с апреля 2023 года.

Во-вторых, SoumniBot фальсифицирует размер архивного файла манифеста, предоставляя значение, превышающее фактический размер. Следовательно, «несжатый» файл копируется напрямую, причем анализатор манифеста игнорирует дополнительные «оверлейные» данные, занимающие оставшееся пространство.

По мнению исследователей, любые более строгие парсеры манифеста не смогут прочитать такой файл, тогда как парсер Android обрабатывает недействительный манифест без каких-либо ошибок.

Последний метод предполагает использование длинных имен пространств имен XML в файле манифеста, что усложняет выделение достаточной памяти средствами анализа для их обработки. Однако, поскольку анализатор манифеста запрограммирован на игнорирование пространств имен, при обработке файлов ошибок не возникает.

После запуска SoumniBot получает информацию о своей конфигурации с заранее определенного адреса сервера для доступа к серверам, используемым для передачи собранных данных и получения команд через протокол обмена сообщениями MQTT.

SoumniBot устанавливает вредоносный сервис на зараженные устройства

Вредоносное ПО запрограммировано на запуск вредоносной службы, которая перезапускается каждые 16 минут в случае прекращения работы и загружает информацию каждые 15 секунд, включая метаданные устройства, списки контактов, SMS-сообщения, фотографии, видео и список установленных приложений.

Кроме того, SoumniBot может манипулировать контактами, отправлять SMS-сообщения, переключать беззвучный режим и включать режим отладки Android, а также скрывать значок приложения, чтобы предотвратить его удаление с устройства.

Примечательной особенностью SoumniBot является его способность искать на внешних носителях файлы .key и .der, содержащие пути к «/NPKI/yessign», которые относятся к южнокорейской службе сертификатов цифровых подписей для государственных учреждений (GPKI), банков и онлайн-сервисов. фондовые биржи (НПКИ).