SoumniBot 行動惡意軟體針對 Android 設備
在現場發現了一種新發現的名為 SoumniBot 的 Android 木馬,該木馬利用提取和解析清單過程中的漏洞,針對韓國用戶。
據研究人員稱,該惡意軟體的特點是採用一種不尋常的策略來避免分析和檢測,特別是透過混淆 Android 清單。
SoumniBot 有三種不同的攻擊方式
每個 Android 應用程式的根目錄中都包含一個清單 XML 檔案(「AndroidManifest.xml」),其中概述了應用程式的元件、權限以及所需的硬體和軟體功能。
認識到威脅搜尋者通常會透過檢查應用程式的清單檔案以了解其行為來啟動分析,惡意軟體背後的威脅參與者採用了三種不同的方法來使這一過程複雜化。
第一種方法涉及在解壓縮 APK 清單檔案期間使用無效的壓縮方法值,利用 libziparchive 庫的解釋,即除 0x0000 或 0x0008 之外的任何值均未壓縮。
儘管任何正確實作壓縮方法驗證的解包程式都會認為此類清單無效,但 Android APK 解析器會將其識別為有效並允許安裝應用程式。
值得注意的是,自 2023 年 4 月以來,與多個 Android 銀行木馬相關的威脅參與者已使用此方法。
其次,SoumniBot 偽造存檔清單檔案大小,提供高於實際大小的值。因此,「未壓縮」檔案被直接複製,清單解析器忽略佔用剩餘空間的附加「覆蓋」資料。
據研究人員稱,任何更嚴格的清單解析器都無法讀取這樣的文件,而 Android 解析器可以毫無錯誤地處理無效清單。
最後一種技術涉及在清單檔案中使用冗長的 XML 命名空間名稱,從而使分析工具分配足夠的記憶體來處理它們變得複雜。但是,由於清單解析器被編程為忽略名稱空間,因此在檔案處理期間不會發生錯誤。
啟動後,SoumniBot 將從預先定義的伺服器位址獲取其配置訊息,以存取用於透過 MQTT 訊息傳遞協定傳輸收集的資料和接收命令的伺服器。
SoumniBot 在受感染的裝置上建立惡意服務
該惡意軟體被編程為啟動惡意服務,如果終止,該服務每16 分鐘重新啟動一次,並且每15 秒上傳一次信息,包括設備元數據、聯繫人列表、短信、照片、視頻和已安裝應用程序列表。
此外,SoumniBot 還可以操作聯絡人、發送簡訊、切換靜默模式、啟用 Android 的調試模式,以及隱藏其應用程式圖示以阻止從裝置上卸載。
SoumniBot 的一個顯著功能是它能夠搜尋外部儲存媒體中包含「/NPKI/yessign」路徑的 .key 和 .der 文件,該文件與韓國政府實體 (GPKI)、銀行和線上數位簽章憑證服務有關證券交易所(NPKI)。