SoumniBot 移动恶意软件瞄准 Android 设备

一种新发现的 Android 木马名为 SoumniBot，已被发现利用清单提取和解析程序中的漏洞针对韩国用户进行攻击。

据研究人员介绍，该恶意软件采用了一种不寻常的策略来避免分析和检测，特别是通过混淆 Android 清单。

SoumniBot 有三种不同的攻击方法

每个 Android 应用程序在其根目录中都包含一个清单 XML 文件（“AndroidManifest.xml”），其中概述了应用程序的组件、权限以及所需的硬件和软件功能。

认识到威胁猎手通常通过检查应用程序的清单文件来了解其行为以启动他们的分析，恶意软件背后的威胁行为者采用了三种不同的方法来使这一过程复杂化。

第一种方法是在解压 APK 的清单文件时使用无效的压缩方法值，利用 libziparchive 库的解释，即除 0x0000 或 0x0008 之外的任何值都未压缩。

尽管任何正确实现压缩方法验证的解包器都会认为这样的清单无效，但 Android APK 解析器会将其识别为有效并允许安装该应用程序。

值得注意的是，自 2023 年 4 月以来，与多种 Android 银行木马相关的威胁行为者就已使用了这种方法。

其次，SoumniBot 会伪造存档清单文件的大小，提供一个高于实际大小的值。因此，直接复制“未压缩”的文件，清单解析器会忽略占用剩余空间的额外“覆盖”数据。

据研究人员称，任何更严格的清单解析器都无法读取这样的文件，而 Android 解析器可以毫无错误地处理无效清单。

最后一种技术涉及在清单文件中使用冗长的 XML 命名空间名称，这会使分析工具分配足够的内存来处理它们变得复杂。但是，由于清单解析器被编程为忽略命名空间，因此在文件处理过程中不会发生任何错误。

一旦启动，SoumniBot 就会从预定义的服务器地址获取其配置信息，以访问用于通过 MQTT 消息协议传输收集的数据和接收命令的服务器。

SoumniBot 在受感染的设备上建立恶意服务

该恶意软件被编程为启动一项恶意服务，如果终止，每 16 分钟重启一次，并且每 15 秒上传一次信息，包括设备元数据、联系人列表、短信、照片、视频和已安装应用程序的列表。

此外，SoumniBot 还可以操纵联系人、发送短信、切换静音模式、启用 Android 的调试模式，以及隐藏其应用程序图标以阻止从设备上卸载。

SoumniBot 的一个显著特点是它能够在外部存储介质中搜索包含“/NPKI/yessign”路径的 .key 和 .der 文件，这些文件属于韩国针对政府实体 (GPKI)、银行和在线证券交易所 (NPKI) 的数字签名证书服务。