Le logiciel malveillant SoumniBot Mobile cible les appareils Android

Un cheval de Troie Android récemment découvert nommé SoumniBot a été identifié sur le terrain ciblant les utilisateurs en Corée du Sud en exploitant des vulnérabilités dans la procédure d'extraction et d'analyse des manifestes.

Selon les chercheurs, le malware se distingue par une tactique inhabituelle pour éviter l'analyse et la détection, notamment en obscurcissant le manifeste Android.

SoumniBot est livré avec trois approches d'attaque différentes

Chaque application Android inclut un fichier XML manifeste (« AndroidManifest.xml ») dans son répertoire racine, qui décrit les composants, les autorisations et les fonctionnalités matérielles et logicielles requises de l'application.

Sachant que les chasseurs de menaces commencent généralement leur analyse en examinant le fichier manifeste de l'application pour comprendre son comportement, les auteurs de la menace à l'origine du malware ont employé trois méthodes différentes pour compliquer ce processus.

La première méthode consiste à utiliser une valeur de méthode de compression non valide lors du déballage du fichier manifeste de l'APK, en exploitant l'interprétation de la bibliothèque libziparchive selon laquelle toute valeur autre que 0x0000 ou 0x0008 n'est pas compressée.

Bien qu'un manifeste comme celui-ci soit considéré comme invalide par tout décompresseur implémentant correctement la validation de la méthode de compression, l'analyseur APK Android le reconnaît comme valide et autorise l'installation de l'application.

Il convient de noter que cette méthode est utilisée par des acteurs malveillants liés à plusieurs chevaux de Troie bancaires Android depuis avril 2023.

Deuxièmement, SoumniBot falsifie la taille du fichier manifeste archivé, fournissant une valeur supérieure à la taille réelle. Par conséquent, le fichier « non compressé » est directement copié, l’analyseur du manifeste ignorant les données « superposées » supplémentaires qui occupent l’espace restant.

Selon les chercheurs, aucun analyseur de manifeste plus strict ne serait capable de lire un fichier comme celui-ci, alors que l'analyseur Android gère le manifeste invalide sans aucune erreur.

La dernière technique consiste à utiliser de longs noms d'espace de noms XML dans le fichier manifeste, ce qui complique l'allocation de suffisamment de mémoire par les outils d'analyse pour les traiter. Cependant, puisque l'analyseur de manifeste est programmé pour ignorer les espaces de noms, aucune erreur ne se produit lors de la gestion des fichiers.

Une fois lancé, SoumniBot récupère ses informations de configuration à partir d'une adresse de serveur prédéfinie pour accéder aux serveurs utilisés pour transmettre les données collectées et recevoir des commandes via le protocole de messagerie MQTT.

SoumniBot établit un service malveillant sur les appareils infectés

Le malware est programmé pour lancer un service malveillant qui redémarre toutes les 16 minutes s'il est arrêté, et télécharge des informations toutes les 15 secondes, notamment des métadonnées de l'appareil, des listes de contacts, des messages SMS, des photos, des vidéos et une liste des applications installées.

De plus, SoumniBot peut manipuler les contacts, envoyer des messages SMS, basculer en mode silencieux et activer le mode de débogage d'Android, ainsi que masquer l'icône de son application pour empêcher la désinstallation de l'appareil.

Une caractéristique notable de SoumniBot est sa capacité à rechercher sur des supports de stockage externes des fichiers .key et .der contenant des chemins vers « /NPKI/yessign », qui concerne le service de certificat de signature numérique de Corée du Sud pour les entités gouvernementales (GPKI), les banques et en ligne. bourses (NPKI).