Yakın zamanda yeni bir bankacı olan SoumniBot belirlendi. Koreli kullanıcıları hedef alıyor ve araştırma ve tespitten kaçınmak için olağandışı bir yöntem kullanarak, özellikle de Android bildirimini gizleyerek inanılmaz.
SoumniBot, benzersiz gizleme özelliğine ek olarak, Kore çevrimiçi bankacılık anahtarlarını çalma yeteneğiyle de öne çıkıyor; bu, Android bankacıların pek yapmadığı bir şey.
Bu yetenek, kötü niyetli aktörlerin banka kimlik doğrulama prosedürlerini atlamasına ve kasıtsız kurbanların cüzdanlarını boşaltmasına olanak tanır.
Araştırmacılar, SoumniBot’un yaratıcılarının ne yazık ki başarılı olduğunu çünkü Android manifest ayrıştırıcı kodunun doğrulamalarının tam anlamıyla yeterli olmadığını söylüyor.
SoumniBot Tarafından Kullanılan Teknikler
Kaspersky araştırmacıları, libziparchive kütüphanesindeki standart arşivden çıkarma fonksiyonunun, kayıt başlığındaki Sıkıştırma yöntemi için yalnızca şu iki değere izin verdiğini açıklıyor: 0x0000 (STORED, sıkıştırılmamış) ve 0x0008 (DEFLATED, zlib kütüphanesinin deflate’i kullanılarak sıkıştırılmış) , aksi takdirde hata döndürür.
Ancak Android geliştiricileri, bu işlevi kullanmak yerine Sıkıştırma yöntemi alanının değerinin yanlış kontrol edildiği farklı bir senaryo sunmayı tercih ediyor.
“APK ayrıştırıcısı, AndroidManifest için APK’da 0x0008 (DEFLATED) dışında herhangi bir Sıkıştırma yöntemi değeriyle karşılaşırsa.
xml girişi, verileri sıkıştırılmamış olarak kabul eder. Bu, uygulama geliştiricilerinin Sıkıştırma yöntemine 8 dışında herhangi bir değeri koymasına ve sıkıştırılmamış veriler yazmasına olanak tanıyor” dedi araştırmacılar.
Sıkıştırma yöntemi doğrulamasını doğru şekilde uygulayan herhangi bir paket açıcı böyle bir bildirimi geçersiz saysa da, Android APK ayrıştırıcısı bildirimi başarıyla tanımlar ve uygulama kurulumuna izin verir.
İkinci olarak manifest dosyasının boyutu, ZIP arşivindeki AndroidManifest.xml girişinin başlığında belirtilir.
Girişin boyutu yanlış belirtilse bile, sıkıştırılmamış olarak saklanması durumunda arşivden değiştirilmeden kopyalanacaktır.
Bildiri ayrıştırıcısı, bildirime bağlı olmayan yükten sonraki tüm kaplamaları veya bilgileri yok sayar.
Bu durum kötü amaçlı yazılım tarafından istismar ediliyor ve arşivlenmiş manifestin bildirilen boyutunun gerçek boyutunu aşması nedeniyle arşiv içeriğinin bir kısmını paketlenmemiş manifeste ekliyor.
Son olarak, XML ad alanlarının adları manifestte yer alan çok uzun dizelerle temsil edilir.
Bu tür dizeler, bildirimleri hem kişiler hem de programlar için okunamaz hale getirir ve bunları işlemek için yeterli belleğe sahip olmayabilir.
Araştırmacılar, “Truva atı ilk kez çalıştırıldığında, kaldırmayı zorlaştırmak için uygulama simgesini gizler ve ardından her 15 saniyede bir kurbanın cihazından ana siteye arka planda veri yüklemeye başlar” dedi.
Bilgiler, güven cihazı-android kitaplığı kullanılarak oluşturulan kurbanın kimliğini, kişi ve hesap listelerini, IP adresinden elde edilen ülkeyi, SMS ve MMS mesajlarını ve diğer verileri içerir.
Truva Atı, komutları almak için MQTT sunucusundan gelen mesajlara abone olur.
Bu tür kötü amaçlı yazılımların kurbanı olmaktan kaçınmak istiyorsanız, tüm taktiklerine rağmen Truva Atı’nı tanımlamak ve yüklenmesini durdurmak için akıllı telefonunuzda saygın bir güvenlik uygulaması kullanmanız önerilir.
Uzlaşma göstergeleri
MD5
0318b7b906e9a34427bf6bbcf64b6fc8
00aa9900205771b8c9e7927153b77cf2
b456430b4ed0879271e6164a7c0e4f6e
fa8b1592c9cda268d8affb6bceb7a120
K&K
https[://]google.kt9[.]alan
https[://]dbdb.addea.workers[.]geliştirici