SoumniBot mobiele malware richt zich op Android-apparaten

Een nieuw ontdekte Android-trojan genaamd SoumniBot is in het veld geïdentificeerd en richt zich op gebruikers in Zuid-Korea door misbruik te maken van kwetsbaarheden in de procedure voor het extraheren en parseren van manifesten.

Volgens onderzoekers onderscheidt de malware zich door een ongebruikelijke tactiek om analyse en detectie te vermijden, met name door het Android-manifest te verdoezelen.

SoumniBot wordt geleverd met drie verschillende aanvalsbenaderingen

Elke Android-applicatie bevat een manifest XML-bestand ("AndroidManifest.xml") in de hoofdmap, waarin de componenten, machtigingen en vereiste hardware- en softwarefuncties van de app worden beschreven.

In het besef dat bedreigingsjagers hun analyse doorgaans beginnen door het manifestbestand van de app te onderzoeken om het gedrag ervan te begrijpen, hebben de bedreigingsactoren achter de malware drie verschillende methoden gebruikt om dit proces te compliceren.

De eerste methode omvat het gebruik van een ongeldige compressiemethodewaarde tijdens het uitpakken van het manifestbestand van de APK, waarbij gebruik wordt gemaakt van de interpretatie van de libziparchive-bibliotheek dat elke andere waarde dan 0x0000 of 0x0008 niet is gecomprimeerd.

Hoewel een dergelijk manifest als ongeldig zou worden beschouwd door elke uitpakker die de validatie van de compressiemethode correct implementeert, herkent de Android APK-parser het als geldig en staat toe dat de applicatie wordt geïnstalleerd.

Het is opmerkelijk dat deze methode sinds april 2023 wordt gebruikt door bedreigingsactoren die verband houden met verschillende Android-banktrojans.

Ten tweede vervalst SoumniBot de gearchiveerde manifestbestandsgrootte, waardoor een waarde wordt verstrekt die hoger is dan de werkelijke grootte. Bijgevolg wordt het "niet-gecomprimeerde" bestand rechtstreeks gekopieerd, waarbij de manifestparser geen rekening houdt met de aanvullende "overlay"-gegevens die de resterende ruimte in beslag nemen.

Volgens onderzoekers zouden strengere manifestparsers zo'n bestand niet kunnen lezen, terwijl de Android-parser het ongeldige manifest zonder fouten afhandelt.

De laatste techniek omvat het gebruik van lange XML-naamruimtenamen in het manifestbestand, wat de toewijzing van voldoende geheugen door analysehulpmiddelen om deze te verwerken bemoeilijkt. Omdat de manifestparser echter is geprogrammeerd om naamruimten te negeren, treden er geen fouten op tijdens de bestandsverwerking.

Eenmaal gelanceerd, haalt SoumniBot zijn configuratie-informatie op van een vooraf gedefinieerd serveradres om toegang te krijgen tot de servers die worden gebruikt voor het verzenden van verzamelde gegevens en het ontvangen van opdrachten via het MQTT-berichtenprotocol.

SoumniBot biedt kwaadaardige service op geïnfecteerde apparaten

De malware is geprogrammeerd om een kwaadaardige service te starten die elke 16 minuten opnieuw opstart als deze wordt beëindigd, en elke 15 seconden informatie uploadt, waaronder metagegevens van het apparaat, contactlijsten, sms-berichten, foto's, video's en een lijst met geïnstalleerde apps.

Bovendien kan SoumniBot contacten manipuleren, sms-berichten verzenden, de stille modus in- en uitschakelen en de foutopsporingsmodus van Android inschakelen, en het app-pictogram verbergen om de-installatie van het apparaat te belemmeren.

Een opvallend kenmerk van SoumniBot is de mogelijkheid om op externe opslagmedia te zoeken naar .key- en .der-bestanden met paden naar "/NPKI/yessign", die betrekking hebben op de Zuid-Koreaanse digitale handtekeningcertificaatservice voor overheidsinstanties (GPKI), banken en online aandelenbeurzen (NPKI).