Исследователи Лаборатории Касперского расчехлили новый банковский троян для Android под названием SoumniBot, разработчики которого реализовали нетривиальный метод обфускации для обхода защиты.

Вредоносное ПО использует особенности Android и манипулирует файлом манифеста APK-файлов, что позволяет ему обходить стандартные меры безопасности и проводить манипуляции по краже информации.

Находящийся в корневом каталоге APK файл AndroidManifest.xml включает информацию о декларируемых компонентах, разрешениях и других данных приложения, а также обеспечивает ОС извлекать сведения о различных точках входа в программу.

Исследователи ЛК обнаружили, что SoumniBot задействует три разных метода, которые включают в себя манипулирование сжатием и размером файла манифеста, чтобы обойти проверки парсера.

Во-первых, SoumniBot использует недопустимое значение сжатия при распаковке файла манифеста APK, которое отличается от стандартных значений (0 или 8), ожидаемых библиотекой Android libziparchive.

Анализатор Android APK по умолчанию распознает данные как несжатые из-за ошибки, что позволяет APK обходить проверки безопасности и продолжать выполнение на устройстве.

Второй метод предполагает неправильное указание размера файла манифеста в APK, предоставление значения, превышающего фактическое значение, что вводит в заблуждение инструменты анализа кода, поскольку в процессе копирования добавляются ненужные данные.

Третий метод обхода заключается в использовании чрезвычайно длинных строк для имен XML-пространств в манифесте, что очень затрудняет их проверку инструментами автоматического анализа, которым часто не хватает памяти для их обработки.

При запуске SoumniBot запрашивает конфигурационные параметры с заранее заданного сервера, заодно отправляя ему информацию о заражённом устройстве, включая номер телефона, используемого мобильного оператора и другие данные.

Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передаёт данные со смартфона с периодичностью в 15 секунд.

Похищенные данные включают IP-адреса, списки контактов, детали учётных записей, SMS-сообщения, фотографии, видео и цифровые сертификаты для онлайн-банкинга.

Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к различным действиям по управлению контактами, SMS, громкостью, режимом отладки.

SoumniBot ориентирован, в первую очередь, на корейских пользователей мобильного банкинга. Как и многие вредоносные приложения для Android, после установки он остаётся активным в фоновом режиме, скрывая при этом свою иконку.

Лаборатория Касперского в своем отчёте предоставила необходимый перечень IOC, а также уведомила Google о недостатках официальной утилиты анализа APK Analyzer.

SecAtor

Исследователи Лаборатории Касперского расчехлили новый банковский троян для Android под названием SoumniBot, разработчики которого реализовали нетривиальный метод обфускации для обхода защиты.

Вредоносное ПО использует особенности Android и манипулирует файлом манифеста APK-файлов, что позволяет ему обходить стандартные меры безопасности и проводить манипуляции по краже информации.

Находящийся в корневом каталоге APK файл AndroidManifest.xml включает информацию о декларируемых компонентах, разрешениях и других данных приложения, а также обеспечивает ОС извлекать сведения о различных точках входа в программу.

Исследователи ЛК обнаружили, что SoumniBot задействует три разных метода, которые включают в себя манипулирование сжатием и размером файла манифеста, чтобы обойти проверки парсера.

Во-первых, SoumniBot использует недопустимое значение сжатия при распаковке файла манифеста APK, которое отличается от стандартных значений (0 или 8), ожидаемых библиотекой Android libziparchive.

Анализатор Android APK по умолчанию распознает данные как несжатые из-за ошибки, что позволяет APK обходить проверки безопасности и продолжать выполнение на устройстве.

Второй метод предполагает неправильное указание размера файла манифеста в APK, предоставление значения, превышающего фактическое значение, что вводит в заблуждение инструменты анализа кода, поскольку в процессе копирования добавляются ненужные данные.

Третий метод обхода заключается в использовании чрезвычайно длинных строк для имен XML-пространств в манифесте, что очень затрудняет их проверку инструментами автоматического анализа, которым часто не хватает памяти для их обработки.

При запуске SoumniBot запрашивает конфигурационные параметры с заранее заданного сервера, заодно отправляя ему информацию о заражённом устройстве, включая номер телефона, используемого мобильного оператора и другие данные.

Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передаёт данные со смартфона с периодичностью в 15 секунд.

Похищенные данные включают IP-адреса, списки контактов, детали учётных записей, SMS-сообщения, фотографии, видео и цифровые сертификаты для онлайн-банкинга.

Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к различным действиям по управлению контактами, SMS, громкостью, режимом отладки.

SoumniBot ориентирован, в первую очередь, на корейских пользователей мобильного банкинга. Как и многие вредоносные приложения для Android, после установки он остаётся активным в фоновом режиме, скрывая при этом свою иконку.

Лаборатория Касперского в своем отчёте предоставила необходимый перечень IOC, а также уведомила Google о недостатках официальной утилиты анализа APK Analyzer.

Securelist

Analysis of the SoumniBot Android banker

We review the new mobile Trojan banker SoumniBot, which exploits bugs in the Android manifest parser to dodge analysis and detection.

hottg.com/true_secator/5654

9.7K viewsApr 18 at 16:54