Новый Android-троянец под названием SoumniBot был обнаружен в дикой природе, нацеленный на пользователей в Южной Корее, используя недостатки в процедуре извлечения и синтаксического анализа манифеста.
Вредоносная программа "отличается нетрадиционным подходом к уклонению от анализа и обнаружения, а именно запутыванием манифеста Android", - сказал в техническом анализе исследователь Касперского Дмитрий Калинин.
Каждое приложение для Android поставляется с файлом XML манифеста ("AndroidManifest.xml"), который находится в корневом каталоге и объявляет различные компоненты приложения, а также разрешения и необходимые аппаратные и программные функции, которые ему требуются.
Зная, что охотники за угрозами обычно начинают свой анализ с проверки файла манифеста приложения, чтобы определить его поведение, было обнаружено, что злоумышленники, стоящие за вредоносным ПО, используют три различных метода, чтобы значительно усложнить процесс.
Первый метод предполагает использование недопустимого значения метода сжатия при распаковке файла манифеста APK с использованием библиотеки libziparchive, которая обрабатывает любое значение, отличное от 0x0000 или 0x0008, как несжатое.
"Это позволяет разработчикам приложений вводить любое значение, кроме 8, в метод сжатия и записывать несжатые данные", - объяснил Калинин.
"Хотя любой распаковщик, который правильно реализует проверку метода сжатия, посчитал бы подобный манифест недействительным, анализатор Android APK распознает его правильно и разрешает установку приложения".
Здесь стоит отметить, что этот метод был применен участниками угроз, связанными с несколькими банковскими троянами Android с апреля 2023 года.
Во-вторых, SoumniBot искажает размер архивированного файла манифеста, предоставляя значение, превышающее фактическую цифру, в результате чего "несжатый" файл копируется напрямую, при этом анализатор манифеста игнорирует остальные данные "наложения", которые занимают оставшееся доступное пространство.
"Более строгие анализаторы манифеста не смогли бы прочитать подобный файл, в то время как анализатор Android обрабатывает недопустимый манифест без каких-либо ошибок", - сказал Калинин.
Последний метод связан с использованием длинных имен пространства имен XML в файле манифеста, что затрудняет выделение инструментами анализа достаточного объема памяти для их обработки. Тем не менее, анализатор манифеста предназначен для игнорирования пространств имен, и, как следствие, при обработке файла не возникает ошибок.
После запуска SoumniBot запрашивает информацию о своей конфигурации с жестко заданного адреса сервера, чтобы получить информацию о серверах, используемых для отправки собранных данных и получения команд, используя протокол обмена сообщениями MQTT соответственно.
Он предназначен для запуска вредоносной службы, которая перезапускается каждые 16 минут, если по какой-либо причине завершает работу, и загружает информацию каждые 15 секунд. Сюда входят метаданные устройства, списки контактов, SMS-сообщения, фотографии, видео и список установленных приложений.
Вредоносная программа также способна добавлять и удалять контакты, отправлять SMS-сообщения, переключать беззвучный режим и включать режим отладки Android, не говоря уже о скрытии значка приложения, чтобы затруднить удаление с устройства.
Одной из примечательных особенностей SoumniBot является его способность искать на внешних носителях данных файлы .key и .der, содержащие пути к "/ NPKI / yessign", что относится к службе сертификатов цифровой подписи, предлагаемой Южной Кореей для правительств (GPKI), банков и онлайн-фондовых бирж (NPKI).
"Эти файлы представляют собой цифровые сертификаты, выдаваемые корейскими банками своим клиентам и используемые для входа в онлайн-банкинг или подтверждения банковских транзакций", - сказал Калинин. "Этот метод довольно необычен для банковских вредоносных программ для Android".
Ранее в этом году компания по кибербезопасности S2W раскрыла подробности вредоносной кампании, предпринятой связанной с Северной Кореей группой Kimusuky, которая использовала программу для кражи информации на базе Golang под названием Troll Stealer для кражи сертификатов GPKI из систем Windows.
"Создатели вредоносных программ стремятся максимально увеличить количество устройств, которые они заражают незаметно", - заключил Калинин. "Это мотивирует их искать новые способы усложнения обнаружения. К сожалению, разработчикам SoumniBot это удалось из-за недостаточно строгих проверок в коде анализатора манифеста Android."
Вредоносная программа "отличается нетрадиционным подходом к уклонению от анализа и обнаружения, а именно запутыванием манифеста Android", - сказал в техническом анализе исследователь Касперского Дмитрий Калинин.
Каждое приложение для Android поставляется с файлом XML манифеста ("AndroidManifest.xml"), который находится в корневом каталоге и объявляет различные компоненты приложения, а также разрешения и необходимые аппаратные и программные функции, которые ему требуются.
Зная, что охотники за угрозами обычно начинают свой анализ с проверки файла манифеста приложения, чтобы определить его поведение, было обнаружено, что злоумышленники, стоящие за вредоносным ПО, используют три различных метода, чтобы значительно усложнить процесс.
Первый метод предполагает использование недопустимого значения метода сжатия при распаковке файла манифеста APK с использованием библиотеки libziparchive, которая обрабатывает любое значение, отличное от 0x0000 или 0x0008, как несжатое.
"Это позволяет разработчикам приложений вводить любое значение, кроме 8, в метод сжатия и записывать несжатые данные", - объяснил Калинин.
"Хотя любой распаковщик, который правильно реализует проверку метода сжатия, посчитал бы подобный манифест недействительным, анализатор Android APK распознает его правильно и разрешает установку приложения".
Здесь стоит отметить, что этот метод был применен участниками угроз, связанными с несколькими банковскими троянами Android с апреля 2023 года.
Во-вторых, SoumniBot искажает размер архивированного файла манифеста, предоставляя значение, превышающее фактическую цифру, в результате чего "несжатый" файл копируется напрямую, при этом анализатор манифеста игнорирует остальные данные "наложения", которые занимают оставшееся доступное пространство.
"Более строгие анализаторы манифеста не смогли бы прочитать подобный файл, в то время как анализатор Android обрабатывает недопустимый манифест без каких-либо ошибок", - сказал Калинин.
Последний метод связан с использованием длинных имен пространства имен XML в файле манифеста, что затрудняет выделение инструментами анализа достаточного объема памяти для их обработки. Тем не менее, анализатор манифеста предназначен для игнорирования пространств имен, и, как следствие, при обработке файла не возникает ошибок.
После запуска SoumniBot запрашивает информацию о своей конфигурации с жестко заданного адреса сервера, чтобы получить информацию о серверах, используемых для отправки собранных данных и получения команд, используя протокол обмена сообщениями MQTT соответственно.
Он предназначен для запуска вредоносной службы, которая перезапускается каждые 16 минут, если по какой-либо причине завершает работу, и загружает информацию каждые 15 секунд. Сюда входят метаданные устройства, списки контактов, SMS-сообщения, фотографии, видео и список установленных приложений.
Вредоносная программа также способна добавлять и удалять контакты, отправлять SMS-сообщения, переключать беззвучный режим и включать режим отладки Android, не говоря уже о скрытии значка приложения, чтобы затруднить удаление с устройства.
Одной из примечательных особенностей SoumniBot является его способность искать на внешних носителях данных файлы .key и .der, содержащие пути к "/ NPKI / yessign", что относится к службе сертификатов цифровой подписи, предлагаемой Южной Кореей для правительств (GPKI), банков и онлайн-фондовых бирж (NPKI).
"Эти файлы представляют собой цифровые сертификаты, выдаваемые корейскими банками своим клиентам и используемые для входа в онлайн-банкинг или подтверждения банковских транзакций", - сказал Калинин. "Этот метод довольно необычен для банковских вредоносных программ для Android".
Ранее в этом году компания по кибербезопасности S2W раскрыла подробности вредоносной кампании, предпринятой связанной с Северной Кореей группой Kimusuky, которая использовала программу для кражи информации на базе Golang под названием Troll Stealer для кражи сертификатов GPKI из систем Windows.
"Создатели вредоносных программ стремятся максимально увеличить количество устройств, которые они заражают незаметно", - заключил Калинин. "Это мотивирует их искать новые способы усложнения обнаружения. К сожалению, разработчикам SoumniBot это удалось из-за недостаточно строгих проверок в коде анализатора манифеста Android."
