SoumniBot Mobile Malware riktar sig till Android-enheter
En nyupptäckt Android-trojan vid namn SoumniBot har identifierats i fältet riktad mot användare i Sydkorea genom att utnyttja sårbarheter i proceduren för att extrahera och analysera manifest.
Enligt forskare kännetecknas skadlig programvara av en ovanlig taktik för att undvika analys och upptäckt, särskilt genom att fördunkla Android-manifestet.
SoumniBot kommer med tre olika attackmetoder
Varje Android-applikation innehåller en manifest XML-fil ("AndroidManifest.xml") i sin rotkatalog, som beskriver appens komponenter, behörigheter och nödvändiga hård- och mjukvarufunktioner.
Med tanke på att hotjägare vanligtvis initierar sin analys genom att undersöka appens manifestfil för att förstå dess beteende, har hotaktörerna bakom skadlig programvara använt tre olika metoder för att komplicera denna process.
Den första metoden innebär att man använder ett ogiltigt komprimeringsmetodvärde under uppackningen av APK:s manifestfil, och utnyttjar libziparchive-bibliotekets tolkning att något annat värde än 0x0000 eller 0x0008 är okomprimerat.
Även om ett manifest som detta skulle anses ogiltigt av alla uppackare som korrekt implementerar validering av komprimeringsmetod, känner Android APK-parsern det som giltigt och tillåter att applikationen installeras.
Det är anmärkningsvärt att denna metod har använts av hotaktörer kopplade till flera Android-banktrojaner sedan april 2023.
För det andra förfalskar SoumniBot den arkiverade manifestfilens storlek och ger ett värde högre än den faktiska storleken. Följaktligen kopieras den "okomprimerade" filen direkt, med manifestparsern bortser från den ytterligare "överlagrings"-data som upptar det återstående utrymmet.
Enligt forskare skulle alla strängare manifest-tolkare inte kunna läsa en sådan fil, medan Android-parsern hanterar det ogiltiga manifestet utan några fel.
Den sista tekniken innebär att man använder långa XML-namnområdesnamn i manifestfilen, vilket komplicerar allokeringen av tillräckligt med minne med analysverktyg för att bearbeta dem. Men eftersom manifestparsern är programmerad att ignorera namnområden, uppstår inga fel under filhantering.
När den väl har startat hämtar SoumniBot sin konfigurationsinformation från en fördefinierad serveradress för att komma åt servrarna som används för att överföra insamlad data och ta emot kommandon via MQTT-meddelandeprotokollet.
SoumniBot etablerar skadlig tjänst på infekterade enheter
Skadlig programvara är programmerad att initiera en skadlig tjänst som startar om var 16:e minut om den avslutas, och den laddar upp information var 15:e sekund, inklusive enhetsmetadata, kontaktlistor, SMS-meddelanden, foton, videor och en lista över installerade appar.
Dessutom kan SoumniBot manipulera kontakter, skicka SMS, växla tyst läge och aktivera Androids felsökningsläge, samt dölja dess appikon för att förhindra avinstallation från enheten.
En anmärkningsvärd egenskap hos SoumniBot är dess förmåga att söka externa lagringsmedia efter .key- och .der-filer som innehåller sökvägar till "/NPKI/yessign", som hänför sig till Sydkoreas digitala signaturcertifikattjänst för statliga enheter (GPKI), banker och online börser (NPKI).
