Badacze firmy Kaspersky odkryli nowe oprogramowanie złośliwe o nazwie SoumniBot, które atakuje urządzenia z systemem Android. Jego celem są użytkownicy w Korei. SoumniBot wyróżnia się na tle innych malware tym, że wykorzystuje nowatorskie techniki, aby uniknąć wykrycia przez standardowe środki bezpieczeństwa – wykorzystuje w tym celu pliki manifestów aplikacji.
Spis treści
Manifesty aplikacji
Oszuści wykorzystują w tym przypadku luki w zabezpieczeniach smartfonów, aby ukryć malware przed wykryciem. A dokładniej są to tzw. manifesty, czyli pliki towarzyszące każdej aplikacji.
Każdy plik APK jest archiwum ZIP z plikiem AndroidManifest.xml w folderze głównym. Ten plik zawiera informacje o zadeklarowanych komponentach, uprawnieniach i innych danych aplikacji oraz pomaga systemowi operacyjnemu uzyskać informacje o różnych punktach wejścia aplikacji. Ten właśnie plik wykorzystuje opisywane oprogramowanie, aby uniknąć wykrycia.
Jak ukrywa się SoumniBot?
SoumniBot stosuje trzy główne techniki, aby uniknąć oznaczania jako złośliwe oprogramowanie:
1. Nieprawidłowa metoda kompresji.
SoumniBot manipuluje sposobem, w jaki system Android rozpakowuje plik manifestu. Używając nieprawidłowej wartości metody kompresji, SoumniBot oszukuje system, aby traktował plik jako nieskompresowany, co pozwala mu ominąć kontrolę bezpieczeństwa. Zamiast traktować te wartości jako niedopuszczalne, parser pakietu APK systemu Android rozpoznaje je poprawnie i umożliwia zainstalowanie aplikacji.
2. Nieprawidłowa wielkość manifestu.
Druga metoda polega na błędnym podaniu rozmiaru pliku manifestu w pliku APK i podaniu wartości większej niż rzeczywista. Ponieważ w poprzednim kroku plik został oznaczony jako nieskompresowany, jest on kopiowany bezpośrednio z archiwum, a różnicę uzupełniają niepotrzebne dane „nakładki”. Kaspersky wyjaśnia, że chociaż te dodatkowe dane nie szkodzą bezpośrednio urządzeniu, ponieważ system Android jest ustawiony na ich ignorowanie, odgrywają one kluczową rolę w dezorientowaniu narzędzi do analizy kodu.
3. Nadmiernie długie nazwy przestrzeni nazw.
Technika ta polega na użyciu wyjątkowo długich wyrażeń w przestrzeni nazw XML w pliku manifestu, co bardzo utrudnia sprawdzenie ich automatycznym narzędziom analitycznym, którym często brakuje wystarczającej pamięci do ich przetworzenia.
Dlaczego jest tak niebezpieczny?
Po uruchomieniu SoumniBot pobiera szczegóły konfiguracji z zaprogramowanego wcześniej serwera. Następnie uruchamia złośliwą usługę, która działa w tle, ukryta przed użytkownikiem. Jeśli z jakiegoś powodu nie można jej uruchomić lub zatrzyma się, co 16 minut podejmowana jest nowa próba. Przy pierwszym uruchomieniu trojan ukrywa ikonę aplikacji, aby skomplikować usuwanie, a następnie co 15 sekund zaczyna przesyłać dane w tle z urządzenia ofiary do strony głównej.
SoumniBot może ukraść znaczną ilość poufnych danych z zainfekowanego urządzenia, w tym: adres IP, kraj (na podstawie adresu IP), listę kontaktów, dane konta, wiadomości SMS i MMS, zdjęcia i filmy, a także cyfrowe certyfikaty bankowości internetowej (w tym wypadku – banków koreańskich).
Jak dochodzi do infekcji?
Nie wiadomo, jak ta rodzina malware trafia na urządzenia. Badacze podejrzewają, że znajduje się w plikach pobieranych z nieautoryzowanych sklepów. Raz zainstalowana aplikacja skutecznie ukrywa swoją obecność, więc użytkownik może nie zdawać sobie sprawy z zagrożenia. Aplikacja pozostaje jednak aktywna w tle i stale przesyła dane z telefonu ofiary do przestępców.
Według raportu firmy Kaspersky aktualnie zagrożenie dotyczy tylko użytkowników z Korei Południowej. Nowy wektor ataku może jednak zostać zastosowany także w wypadku innych regionów świata. Z czasem zagrożenie może dotrzeć także i do Polski, stając się sporym problemem dla wszystkich korzystających ze smartfonów pod kontrolą systemu Android.
Źródło: BleepingComputer, Kaspersky. Zdjęcie otwierające: Kaspersky / securelist.com
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.