Исследователи из "Лаборатории Касперского" обнаружили новый вид вредоносного программного обеспечения для устройств на базе Android под названием "SoumniBot". Оно использует необычную технику запутывания кода, эксплуатируя уязвимости в процессе извлечения и анализа манифеста Android. Это позволяет ему обходить стандартные меры безопасности и осуществлять операции по краже информации.
Специалисты "Лаборатории Касперского" выявили и проанализировали этот метод. Они раскрыли технические детали того, как вредоносное ПО использует особенности Android для анализа и извлечения манифестов APK.
APK-файл представляет собой ZIP-архив, в корневом каталоге которого находится файл AndroidManifest.xml. Этот файл содержит информацию о компонентах, разрешениях и других данных приложения, а также помогает операционной системе извлекать сведения о различных точках входа в программу.
"SoumniBot" использует три различных метода манипуляции с файлом манифеста: изменение его размера и компрессии, чтобы избежать проверок парсера. Первый метод включает использование недопустимого значения компрессии при распаковке манифеста APK, что позволяет обойти стандартные проверки безопасности. Второй метод заключается в неправильном указании размера файла манифеста, что вводит в заблуждение инструменты анализа кода, так как в процессе копирования добавляются ненужные данные. Третий метод включает использование чрезвычайно длинных строк для имен XML-пространств в манифесте, что затрудняет автоматический анализ.
"Лаборатория Касперского" сообщила Google о недостатках официальной утилиты анализа APK Analyzer при работе с файлами, использующими вышеописанные методы обхода.
После установки "SoumniBot" запрашивает конфигурационные параметры с заранее заданного сервера, одновременно отправляя информацию о зараженном устройстве, включая номер телефона, используемого мобильного оператора и другие данные. Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передает данные со смартфона с периодичностью в 15 секунд. Украденная информация включает IP-адреса, списки контактов, детали учетных записей, SMS-сообщения, фотографии, видео и цифровые сертификаты для онлайн-банкинга.
Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к следующим действиям: удалению или добавлению контактов, отправке SMS-сообщений, регулировке громкости мелодии звонка, включению или выключению бесшумного режима, включению или выключению режима отладки на устройстве.
"SoumniBot" ориентирован в первую очередь на корейских пользователей мобильного банкинга. После установки он остается активным в фоновом режиме, скрывая свою иконку, что усложняет его обнаружение и удаление.
"Лаборатория Касперского" предоставила список признаков компрометации, включая хеши для вредоносного ПО и два домена, используемых операторами вредоносного ПО для работы C2-серверов.
Специалисты "Лаборатории Касперского" выявили и проанализировали этот метод. Они раскрыли технические детали того, как вредоносное ПО использует особенности Android для анализа и извлечения манифестов APK.
APK-файл представляет собой ZIP-архив, в корневом каталоге которого находится файл AndroidManifest.xml. Этот файл содержит информацию о компонентах, разрешениях и других данных приложения, а также помогает операционной системе извлекать сведения о различных точках входа в программу.
"SoumniBot" использует три различных метода манипуляции с файлом манифеста: изменение его размера и компрессии, чтобы избежать проверок парсера. Первый метод включает использование недопустимого значения компрессии при распаковке манифеста APK, что позволяет обойти стандартные проверки безопасности. Второй метод заключается в неправильном указании размера файла манифеста, что вводит в заблуждение инструменты анализа кода, так как в процессе копирования добавляются ненужные данные. Третий метод включает использование чрезвычайно длинных строк для имен XML-пространств в манифесте, что затрудняет автоматический анализ.
"Лаборатория Касперского" сообщила Google о недостатках официальной утилиты анализа APK Analyzer при работе с файлами, использующими вышеописанные методы обхода.
После установки "SoumniBot" запрашивает конфигурационные параметры с заранее заданного сервера, одновременно отправляя информацию о зараженном устройстве, включая номер телефона, используемого мобильного оператора и другие данные. Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передает данные со смартфона с периодичностью в 15 секунд. Украденная информация включает IP-адреса, списки контактов, детали учетных записей, SMS-сообщения, фотографии, видео и цифровые сертификаты для онлайн-банкинга.
Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к следующим действиям: удалению или добавлению контактов, отправке SMS-сообщений, регулировке громкости мелодии звонка, включению или выключению бесшумного режима, включению или выключению режима отладки на устройстве.
"SoumniBot" ориентирован в первую очередь на корейских пользователей мобильного банкинга. После установки он остается активным в фоновом режиме, скрывая свою иконку, что усложняет его обнаружение и удаление.
"Лаборатория Касперского" предоставила список признаков компрометации, включая хеши для вредоносного ПО и два домена, используемых операторами вредоносного ПО для работы C2-серверов.