Byl odhalen nový trojský kůň pro Android s názvem SoumniBot, který se zaměřuje na uživatele v Jižní Koreji, přičemž využívá slabin v postupu extrakce a analýzy.
Tento malware „se vyznačuje netradičním přístupem k vyhýbání se analýze a detekci, konkrétně obfuskací manifestu systému Android,“ uvedl v technické analýze Dmitrij Kalinin, výzkumník společnosti Kaspersky.
Každá aplikace pro Android je dodávána se souborem manifest XML (“AndroidManifest.xml”), který je umístěn v kořenovém adresáři a deklaruje různé součásti aplikace, stejně jako oprávnění a hardwarové a softwarové funkce, které vyžaduje.
S vědomím, že lovci hrozeb obvykle zahajují svou analýzu kontrolou souboru manifestu aplikace, aby určili její chování, bylo zjištěno, že aktéři hrozeb za malwarem využívají tři různé techniky, aby byl proces mnohem náročnější.
První metoda zahrnuje použití neplatné hodnoty metody komprese při rozbalování souboru manifestu APK pomocí knihovny libziparchive, která považuje jakoukoli jinou hodnotu než 0x0000 nebo 0x0008 za nekomprimovanou.
„To umožňuje vývojářům aplikací vložit do metody Compression jakoukoli hodnotu kromě 8 a zapsat nekomprimovaná data,“ vysvětlil Kalinin.
„Ačkoli každý rozbalovací program, který správně implementuje ověřování kompresních metod, by takový manifest považoval za neplatný, analyzátor APK systému Android jej správně rozpozná a umožní aplikaci nainstalovat.“
Zde je třeba zdůraznit, že tuto metodu si osvojili aktéři hrozeb spojení s několika bankovními trojskými koni pro systém Android od dubna 2023.
Zadruhé, SoumniBot nesprávně uvádí velikost archivovaného souboru manifestu a uvádí hodnotu, která převyšuje skutečný údaj, v důsledku čehož je „nekomprimovaný“ soubor přímo zkopírován, přičemž parser manifestu ignoruje zbytek „překryvných“ dat, která zabírají zbytek dostupného prostoru.
„Přísnější parsery manifestů by takový soubor nedokázaly přečíst, zatímco parser systému Android si s neplatným manifestem poradí bez chyb,“ řekl Kalinin.
Poslední technika souvisí s využitím dlouhých názvů jmenných prostorů XML v souboru manifestu, čímž se analytickým nástrojům ztěžuje alokace dostatečné paměti pro jejich zpracování. Přesto je parser manifestu navržen tak, aby ignoroval jmenné prostory, a v důsledku toho nejsou při zpracování souboru vyvolány žádné chyby.
SoumniBot si po spuštění vyžádá své konfigurační informace z pevně zadané adresy serveru, aby získal servery používané k odesílání shromážděných dat, respektive k přijímání příkazů pomocí protokolu pro zasílání zpráv MQTT.
Je navržen tak, aby spouštěl škodlivou službu, která se restartuje každých 16 minut, pokud se z nějakého důvodu ukončí, a odesílá informace každých 15 sekund. Jedná se o metadata zařízení, seznamy kontaktů, zprávy SMS, fotografie, videa a seznam nainstalovaných aplikací.
Škodlivý software je také schopen přidávat a odstraňovat kontakty, odesílat SMS zprávy, přepínat tichý režim a zapínat režim ladění systému Android, nemluvě o skrytí ikony aplikace, aby bylo obtížnější ji ze zařízení odinstalovat.
Pozoruhodnou vlastností SoumniBotu je jeho schopnost vyhledávat na externím paměťovém médiu soubory .key a .der obsahující cesty k „/NPKI/yessign“, což odkazuje na službu digitálních podpisových certifikátů, kterou nabízí Jižní Korea pro vlády (GPKI), banky a online burzy (NPKI).
„Tyto soubory jsou digitální certifikáty, které korejské banky vydávají svým klientům a které slouží k přihlašování ke službám internetového bankovnictví nebo k potvrzování bankovních transakcí,“ uvedl Kalinin. „Tato technika je u bankovního malwaru pro Android poměrně neobvyklá.“
Začátkem tohoto roku odhalila společnost S2W zabývající se kybernetickou bezpečností podrobnosti o malwarové kampani, kterou podnikla skupina Kimusuky napojená na Severní Koreu a která využívala k odčerpání certifikátů GPKI ze systémů Windows nástroj pro krádež informací s názvem Troll Stealer založený na jazyce Golang.
Zdroj: thehackernews.com
