Mobile Malware von SoumniBot

Ein bisher unbekannter Android-Trojaner namens SoumniBot ist aufgetaucht und zielt aktiv auf Benutzer in Südkorea ab. Er nutzt Schwachstellen im Manifest-Extraktions- und -Analyseprozess aus. Was diese Malware auszeichnet, ist ihre einzigartige Strategie, Erkennung und Analyse zu vermeiden, hauptsächlich durch Verschleierung der Android-Manifestdatei.

Jede Android-Anwendung wird von einer XML-Manifestdatei namens „AndroidManifest.xml“ begleitet, die sich im Stammverzeichnis befindet. Diese Datei beschreibt die Komponenten, Berechtigungen und erforderlichen Hardware- und Softwarefunktionen der Anwendung.

Da Bedrohungsjäger ihre Analyse üblicherweise mit der Untersuchung der Manifestdatei der Anwendung beginnen, um deren Funktionalität festzustellen, wurde beobachtet, dass die für die Malware verantwortlichen böswilligen Akteure drei verschiedene Techniken einsetzen, um diesen Prozess erheblich zu verkomplizieren.

Die mobile Malware SoumniBot ergreift neuartige Maßnahmen, um einer Entdeckung zu entgehen

Der erste Ansatz besteht darin, den Wert der Komprimierungsmethode während des Entpackens der Manifestdatei des APK mithilfe der Bibliothek libziparchive zu manipulieren. Diese Methode nutzt das Verhalten der Bibliothek aus, die jeden Wert außer 0x0000 oder 0x0008 als unkomprimiert betrachtet, sodass Entwickler jeden Wert außer 8 einfügen und unkomprimierte Daten schreiben können.

Obwohl Entpacker mit der richtigen Validierung der Komprimierungsmethode solche Manifeste als ungültig erachten, interpretiert der Android APK-Parser sie korrekt und erlaubt die Installation der Anwendung. Diese Technik wird seit April 2023 insbesondere von Bedrohungsakteuren übernommen, die mit verschiedenen Android-Banking-Trojanern in Verbindung stehen.

Zweitens fälscht SoumniBot die Größe der archivierten Manifestdatei und gibt einen Wert an, der die tatsächliche Größe überschreitet. Folglich wird die „unkomprimierte“ Datei direkt kopiert, wobei der Manifestparser die überzähligen „Overlay“-Daten ignoriert. Während strengere Manifestparser solche Dateien nicht interpretieren könnten, verarbeitet der Android-Parser das fehlerhafte Manifest, ohne auf Fehler zu stoßen.

Die letzte Taktik besteht darin, lange XML-Namespace-Namen in der Manifestdatei zu verwenden, was die Zuweisung von ausreichend Speicher für die Analysetools zur Verarbeitung erschwert. Der Manifestparser ist jedoch so konzipiert, dass er Namespaces ignoriert und die Datei daher ohne Fehler verarbeitet.

SoumniBot zielt auf sensible Daten auf gehackten Android-Geräten ab

Nach der Aktivierung ruft SoumniBot seine Konfigurationsdaten von einer voreingestellten Serveradresse ab, um die Server abzurufen, die zum Übertragen gesammelter Daten und Empfangen von Befehlen über das MQTT-Nachrichtenprotokoll verwendet werden.

Es ist so programmiert, dass es einen unsicheren Dienst aktiviert, der im Falle einer Beendigung alle 16 Minuten neu gestartet wird, um einen kontinuierlichen Betrieb sicherzustellen und gleichzeitig alle 15 Sekunden Informationen hochzuladen. Diese Daten umfassen Gerätemetadaten, Kontaktlisten, SMS-Nachrichten, Fotos, Videos und eine Liste der installierten Anwendungen.

Darüber hinaus verfügt die Malware über Funktionen wie das Hinzufügen und Entfernen von Kontakten, das Versenden von SMS-Nachrichten, das Umschalten des Lautlosmodus und das Aktivieren des Debug-Modus von Android. Darüber hinaus kann sie ihr Anwendungssymbol verbergen, wodurch sie widerstandsfähiger gegen eine Deinstallation vom Gerät wird.

Ein bemerkenswertes Merkmal von SoumniBot ist seine Fähigkeit, externe Speichermedien nach .key- und .der-Dateien zu durchsuchen, die Pfade zu „/NPKI/yessign“ enthalten. Dies entspricht dem digitalen Signaturzertifikatsdienst, der von Südkorea für Regierungszwecke (GPKI), Bank- und Online-Börsenzwecke (NPKI) bereitgestellt wird.

Bei diesen Dateien handelt es sich um digitale Zertifikate, die koreanische Banken an ihre Kunden ausstellen und die zum Anmelden bei Online-Banking-Plattformen oder zur Verifizierung von Banktransaktionen verwendet werden. Diese Technik ist bei Android-Banking-Malware relativ ungewöhnlich.