Το android trojan “SoumniBot” στοχεύει τη Νότια Κορέα
Ένα νέο android trojan, το SoumniBot, που εντοπίστηκε πρόσφατα, στοχεύει χρήστες στη Νότια Κορέα.
Το κακόβουλο λογισμικό διακρίνεται για τις πρωτοποριακές τεχνικές που χρησιμοποιεί για να αποφεύγει την ανάλυση, εφαρμόζοντας τρεις διακεκριμένες μεθόδους με στόχο την παρεμπόδιση της διαδικασίας ανίχνευσης. Κατ’ αρχάς, εκμεταλλεύεται ένα ελάττωμα στη βιβλιοθήκη libziparchive, χρησιμοποιώντας μια μη κανονική τιμή συμπίεσης που του επιτρέπει να εγκατασταθεί ακόμα και όταν αναγνωρίζεται ως μη έγκυρο από κάποια εργαλεία. Δεύτερον, το SoumniBot διαστρεβλώνει το μέγεθος του αρχείου μανιφέστου, οδηγώντας τους αναλυτές σε λάθος συμπεράσματα ώστε να αγνοήσουν πρόσθετα δεδομένα. Επιπλέον, κάνει καταχρηστική χρήση μεγάλων ονομάτων χώρων XML, προκαλώντας υπέρμετρο φόρτιο στην κατανομή μνήμης των εργαλείων ανάλυσης.
Κατά την εκκίνησή του, το SoumniBot αποκτά πληροφορίες διαμόρφωσης από έναν προκαθορισμένο διακομιστή, επιτρέποντάς του να ανταλλάσσει δεδομένα και να δέχεται εντολές μέσω του πρωτοκόλλου MQTT. Αυτό το κακόβουλο λογισμικό εκτελεί μια σταθερή υπηρεσία που αυτο-επανεκκινείται κάθε 16 λεπτά σε περίπτωση τερματισμού της και στέλνει δεδομένα κάθε 15 δευτερόλεπτα, συμπεριλαμβανομένων μεταδεδομένων συσκευής, επαφών, SMS μηνυμάτων, πολυμέσων και εγκατεστημένων εφαρμογών. Παρέχει επιπλέον δυνατότητες όπως η χειραγώγηση επαφών, η αποστολή SMS, η ενεργοποίηση της αθόρυβης λειτουργίας και η απόκρυψη του εικονιδίου της εφαρμογής για να αποφεύγεται η απεγκατάστασή της. Συγκεκριμένα, το SoumniBot επικεντρώνεται στο στόχευμα αρχείων ψηφιακών πιστοποιητικών σχετικά με τράπεζες της Νότιας Κορέας, μια εξαιρετικά ασυνήθιστη πρακτική για κακόβουλο λογισμικό Android που στοχεύει τον τραπεζικό τομέα.
Οι συγκρίσεις που πραγματοποιήθηκαν με μια πρόσφατη επιχείρηση του Kimusuky group, που έχει σχέσεις με τη Βόρεια Κορέα, είναι αρκετά ισχυρές. Σε αυτή την επιχείρηση, ένας hacker, γνωστός ως Troll Stealer, χρησιμοποίησε την τεχνολογία Golang για να αποκτήσει παρόμοια δεδομένα από συστήματα Windows. Η κύρια προτεραιότητα των δημιουργών τέτοιου είδους κακόβουλου λογισμικού είναι να προσβάλλουν συσκευές χωρίς να γίνονται αντιληπτοί, εξελίσσοντας συνεχώς για να διαφεύγουν την ανίχνευση.
Όσον αφορά το SoumniBot, η επιτυχία του έγκειται στις ελλιπείς επαληθεύσεις στον κώδικα ανάλυσης του Android manifest. Αυτό επισημαίνει τη συνεχιζόμενη μάχη μεταξύ των δημιουργών κακόβουλου λογισμικού και των ειδικών στην κυβερνοασφάλεια, με τους πρώτους να επιδιώκουν συνεχώς την καινοτομία προκειμένου να παραμένουν ένα βήμα μπροστά από τα μέτρα ανίχνευσης.
