Yeni bir Android truva atı adı verildi SoumniBot manifest çıkarma ve ayrıştırma prosedüründeki zayıflıklardan yararlanılarak Güney Kore’deki kullanıcıları hedef aldığı tespit edildi.
Kaspersky araştırmacısı Dmitry Kalinin teknik bir analizde, kötü amaçlı yazılımın “analiz ve tespitten kaçınmaya yönelik alışılmadık bir yaklaşım, yani Android bildirimini gizleme açısından dikkate değer” olduğunu söyledi.
Her Android uygulaması, kök dizinde bulunan ve uygulamanın çeşitli bileşenlerinin yanı sıra izinleri ve gerektirdiği donanım ve yazılım özelliklerini bildiren bir bildirim XML dosyası (“AndroidManifest.xml”) ile birlikte gelir.
Tehdit avcılarının genellikle uygulamanın davranışını belirlemek için uygulamanın manifest dosyasını inceleyerek analizlerine başladıkları bilindiğinden, kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin analize direnmek için üç farklı teknikten yararlandıkları bulunmuştur.
İlk yöntem, 0x0000 veya 0x0008 dışındaki herhangi bir değeri sıkıştırılmamış olarak kabul eden libziparchive kitaplığını kullanarak APK’nın bildirim dosyasını açarken geçersiz bir Sıkıştırma yöntemi değerinin kullanılmasını içerir.
Kalinin, “Bu, uygulama geliştiricilerinin Sıkıştırma yöntemine 8 dışında herhangi bir değer koymasına ve sıkıştırılmamış veriler yazmasına olanak tanıyor” diye açıkladı.
“Sıkıştırma yöntemi doğrulamasını doğru bir şekilde uygulayan herhangi bir paket açıcı, böyle bir bildirimin geçersiz olduğunu düşünse de, Android APK ayrıştırıcısı bunu doğru bir şekilde tanır ve uygulamanın yüklenmesine izin verir.”
Yöntemin, Nisan 2023’ten bu yana çeşitli Android bankacılık truva atlarıyla bağlantılı tehdit aktörleri tarafından benimsendiğini burada belirtmekte fayda var.
İkinci olarak, SoumniBot, arşivlenmiş manifest dosyası boyutunu yanlış beyan ederek gerçek rakamı aşan bir değer sağlar, bunun sonucunda “sıkıştırılmamış” dosya doğrudan kopyalanır ve manifest ayrıştırıcı, veriyi kaplayan “yer paylaşımı” verilerinin geri kalanını göz ardı eder. kullanılabilir alanın geri kalanı.
Kalinin, “Daha katı bildirim ayrıştırıcıları böyle bir dosyayı okuyamaz, oysa Android ayrıştırıcısı geçersiz bildirimi herhangi bir hata olmadan işliyor” dedi.
Son teknik, bildirim dosyasında uzun XML ad alanı adlarının kullanılmasıyla ilgilidir, bu da analiz araçlarının bunları işlemek için yeterli bellek ayırmasını zorlaştırır. Bununla birlikte, bildirim ayrıştırıcısı ad alanlarını yok sayacak şekilde tasarlanmıştır ve sonuç olarak dosya işlenirken hiçbir hata oluşmaz.
SoumniBot, başlatıldığında, sırasıyla MQTT mesajlaşma protokolünü kullanarak toplanan verileri göndermek ve komutları almak için kullanılan sunucuları elde etmek için sabit kodlu bir sunucu adresinden yapılandırma bilgilerini ister.
Herhangi bir nedenle sona ermesi durumunda her 16 dakikada bir yeniden başlayan ve bilgileri her 15 saniyede bir yükleyen kötü amaçlı bir hizmeti başlatmak üzere tasarlanmıştır. Buna cihaz meta verileri, kişi listeleri, SMS mesajları, fotoğraflar, videolar ve yüklü uygulamaların listesi dahildir.
Kötü amaçlı yazılım aynı zamanda kişileri ekleyip silebilir, SMS mesajları gönderebilir, sessiz modu değiştirebilir ve Android’in hata ayıklama modunu etkinleştirebilir; ayrıca cihazdan kaldırmayı zorlaştırmak için uygulama simgesini gizleyebilir.
SoumniBot’un dikkate değer özelliklerinden biri, Güney Kore’nin hükümetler (GPKI) ve bankalar için sunduğu dijital imza sertifika hizmetini ifade eden “/NPKI/yessign” yolunu içeren .key ve .der dosyalarını harici depolama ortamında arama yeteneğidir. ve çevrimiçi borsalar (NPKI).
Kalinin, “Bu dosyalar Kore bankaları tarafından müşterilerine verilen ve çevrimiçi bankacılık hizmetlerinde oturum açmak veya bankacılık işlemlerini onaylamak için kullanılan dijital sertifikalardır” dedi. “Bu teknik, Android bankacılık kötü amaçlı yazılımları için oldukça nadirdir.”
Bu yılın başlarında siber güvenlik şirketi S2W, Kuzey Kore bağlantılı Kimusuky grubu tarafından yürütülen ve Windows sistemlerinden GPKI sertifikalarını sızdırmak için Troll Stealer adlı Golang tabanlı bir bilgi çalan yazılımdan yararlanan kötü amaçlı yazılım kampanyasının ayrıntılarını açıkladı.
Kalinin sözlerini şöyle tamamladı: “Kötü amaçlı yazılım yaratıcıları, fark edilmeden bulaştırdıkları cihazların sayısını en üst düzeye çıkarmaya çalışıyor.” “Bu, onları algılamayı karmaşıklaştırmanın yeni yollarını aramaya motive ediyor. SoumniBot geliştiricileri ne yazık ki Android bildirim ayrıştırıcı kodundaki yeterince katı doğrulamalar nedeniyle başarılı oldu.”