Yeni bir Android trojan adı verildi SoumniBot Bildiri çıkarma ve ayrıştırma prosedüründeki zayıflıklardan yararlanılarak Güney Kore’deki kullanıcıları vahşice hedeflediği tespit edildi.
Kaspersky araştırmacısı Dmitry Kalinin, kötü amaçlı yazılımın “analiz ve tespitten kaçınmaya yönelik alışılmadık bir yaklaşımla, yani Android bildirimini gizlemesiyle dikkate değer” olduğunu söyledi. söz konusu teknik analizde.
Her Android uygulaması bir manifest XML dosyası (“AndroidManifest.xml”), kök dizinde bulunur ve uygulamanın çeşitli bileşenlerinin yanı sıra, uygulamanın gerektirdiği izinleri ve donanım ve yazılım özelliklerini bildirir.
Tehdit avcılarının genellikle uygulamanın davranışını belirlemek için uygulamanın bildirim dosyasını inceleyerek analizlerine başladıkları bilindiğinden, kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin, süreci çok daha zorlu hale getirmek için üç farklı teknikten yararlandıkları görüldü.
İlk yöntem, 0x0000 veya 0x0008 dışındaki herhangi bir değeri sıkıştırılmamış olarak kabul eden libziparchive kitaplığını kullanarak APK’nın bildirim dosyasını açarken geçersiz bir Sıkıştırma yöntemi değerinin kullanılmasını içerir.
Kalinin, “Bu, uygulama geliştiricilerinin Sıkıştırma yöntemine 8 dışında herhangi bir değer koymasına ve sıkıştırılmamış veriler yazmasına olanak tanıyor” diye açıkladı.
“Sıkıştırma yöntemi doğrulamasını doğru bir şekilde uygulayan herhangi bir paket açıcı, böyle bir bildirimin geçersiz olduğunu düşünse de, Android APK ayrıştırıcısı bunu doğru bir şekilde tanır ve uygulamanın yüklenmesine izin verir.”
Yöntemin Nisan 2023’ten bu yana çeşitli Android bankacılık truva atlarıyla bağlantılı tehdit aktörleri tarafından benimsendiğini burada belirtmekte fayda var.
İkinci olarak, SoumniBot, arşivlenmiş manifest dosyası boyutunu yanlış beyan ederek gerçek rakamı aşan bir değer sağlar, bunun sonucunda “sıkıştırılmamış” dosya doğrudan kopyalanır ve manifest ayrıştırıcı, veriyi kaplayan “yer paylaşımı” verilerinin geri kalanını göz ardı eder. kullanılabilir alanın geri kalanı.
Kalinin, “Daha katı bildirim ayrıştırıcıları böyle bir dosyayı okuyamaz, oysa Android ayrıştırıcısı geçersiz bildirimi herhangi bir hata olmadan işliyor” dedi.
Son teknik, bildirim dosyasında uzun XML ad alanı adlarının kullanılmasıyla ilgilidir, bu da analiz araçlarının bunları işlemek için yeterli bellek ayırmasını zorlaştırır. Bununla birlikte, bildirim ayrıştırıcısı ad alanlarını yok sayacak şekilde tasarlanmıştır ve sonuç olarak dosya işlenirken hiçbir hata oluşmaz.
SoumniBot, başlatıldığında, sırasıyla MQTT mesajlaşma protokolünü kullanarak toplanan verileri göndermek ve komutları almak için kullanılan sunucuları elde etmek için sabit kodlu bir sunucu adresinden yapılandırma bilgilerini ister.
Herhangi bir nedenle sona ermesi durumunda her 16 dakikada bir yeniden başlayan ve bilgileri her 15 saniyede bir yükleyen kötü amaçlı bir hizmeti başlatmak üzere tasarlanmıştır. Buna cihaz meta verileri, kişi listeleri, SMS mesajları, fotoğraflar, videolar ve yüklü uygulamaların listesi dahildir.
Kötü amaçlı yazılım aynı zamanda kişileri ekleyip silebilir, SMS mesajları gönderebilir, sessiz modu değiştirebilir ve Android’in hata ayıklama modunu etkinleştirebilir; ayrıca cihazdan kaldırmayı zorlaştırmak için uygulama simgesini gizleyebilir.
SoumniBot’un dikkate değer bir özelliği, harici depolama ortamında “/NPKI/yessign”a giden yolları içeren .key ve .der dosyalarını arama yeteneğidir. dijital imza sertifikası hizmeti Güney Kore tarafından hükümetler (GPKI), bankalar ve çevrimiçi borsalar (NPKI) için sunulmaktadır.
Kalinin, “Bu dosyalar Kore bankaları tarafından müşterilerine verilen ve çevrimiçi bankacılık hizmetlerinde oturum açmak veya bankacılık işlemlerini onaylamak için kullanılan dijital sertifikalardır” dedi. “Bu teknik, Android bankacılık kötü amaçlı yazılımları için oldukça nadirdir.”
Bu yılın başlarında siber güvenlik şirketi S2W, Kuzey Kore bağlantılı Kimusuky grubu tarafından yürütülen ve Windows sistemlerinden GPKI sertifikalarını sızdırmak için Troll Stealer adlı Golang tabanlı bir bilgi çalan yazılımdan yararlanan kötü amaçlı yazılım kampanyasının ayrıntılarını açıkladı.
Kalinin, “Kötü amaçlı yazılım yaratıcıları, fark edilmeden bulaştırdıkları cihaz sayısını en üst düzeye çıkarmaya çalışıyor” dedi. “Bu, onları algılamayı karmaşıklaştırmanın yeni yollarını aramaya motive ediyor. SoumniBot geliştiricileri ne yazık ki Android bildirim ayrıştırıcı kodundaki yeterince katı doğrulamalar nedeniyle başarılı oldu.”
Yorum almak için ulaşıldığında Google, The Hacker News’e, Android için Google Play Store’da SoumniBot içeren hiçbir uygulama bulamadığını söyledi.
“Android kullanıcıları bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunmaktadır. Google Play KorumasıGoogle Play Hizmetlerine sahip Android cihazlarda varsayılan olarak açıktır. Google Play Koruma, kullanıcıları uyarabilir veya kötü niyetli davranışlar sergilediği bilinen uygulamaları, bu uygulamalar Play dışındaki kaynaklardan gelse bile engelleyebilir.” diye ekledi.
