Хитроумная маскировка позволяет вредоносу навсегда прописаться на заражённых устройствах.
https://www.securitylab.ru/upload/ib...akdss0fgu7.jpg
Новый вид банковского вредоносного ПО для Android, получивший название «SoumniBot», применяет необычный метод обфускации, используя уязвимости в процессе извлечения и анализа манифеста Android. Это позволяет ему обходить стандартные меры безопасности и проводить операции по краже информации.
Метод был выявлен и проанализирован специалистами «Лаборатории Касперского», которые раскрыли технические детали того, как вредоносное ПО использует особенности Android для анализа и извлечения манифестов APK.
«Любой APK-файл — это ZIP-архив, в корневом каталоге которого находится файл AndroidManifest.xml. Этот файл содержит информацию о декларируемых компонентах, разрешениях и других данных приложения, а также помогает операционной системе извлекать сведения о различных точках входа в программу», — объясняет исследователь Дмитрий Калинин.
«Как и операционная система, аналитик в первую очередь знакомится с манифестом, откуда он узнает о точках входа, с которых следует начинать анализ кода приложения. Скорее всего, именно это побудило разработчиков SoumniBot исследовать особенности обработки манифестов в Android, что позволило им найти несколько интересных возможностей для обфускации APK», — продолжает специалист.
Особенностью «SoumniBot» является использование трёх различных методов манипуляции с файлом манифеста — изменение его размера и компрессии, чтобы избежать проверок парсера.<ul><li>Первый метод заключается в использовании недопустимого значения компрессии при распаковке манифеста APK, что позволяет обходить стандартные проверки безопасности.</li>
</ul><ul><li>Второй метод — это неправильное указание размера файла манифеста, что вводит в заблуждение инструменты анализа кода, поскольку в процессе копирования добавляются ненужные данные.</li>
</ul><ul><li>Третий метод заключается в использовании чрезвычайно длинных строк для имён XML-пространств в манифесте, что затрудняет автоматический анализ.</li>
</ul>«Лаборатория Касперского» сообщила Google о недостатках официальной утилиты анализа APK Analyzer при работе с файлами, использующими вышеописанные методы обхода.
По полученным данным, «SoumniBot» после установки запрашивает конфигурационные параметры с заранее заданного сервера, заодно отправляя ему информацию о заражённом устройстве, включая номер телефона, используемого мобильного оператора и другие данные.
Затем вредоносное ПО запускает службу, которая перезапускается каждые 16 минут и передаёт данные со смартфона с периодичностью в 15 секунд. Похищенные данные включают IP-адреса, списки контактов, детали учётных записей, SMS-сообщения, фотографии, видео и цифровые сертификаты для онлайн-банкинга.
Управление данными осуществляется через MQTT-сервер, который также может отправлять на смартфон команды, приводящие к следующим действиям:<ul><li>удалению или добавлению контактов;</li>
</ul><ul><li>отправке SMS-сообщений;</li>
</ul><ul><li>регулировке громкости мелодии звонка;</li>
</ul><ul><li>включению/выключению бесшумного режима;</li>
</ul><ul><li>включению/выключению режима отладки на устройстве.</li>
</ul>«SoumniBot» ориентирован в первую очередь на корейских пользователей мобильного банкинга. Как и многие вредоносные приложения для Android, после установки он остаётся активным в фоновом режиме, скрывая при этом свою иконку. Это существенно усложняет обнаружение и удаление вредоноса, особенно для неопытного пользователя.
«Лаборатория Касперского» в своём отчёте предоставила необходимый список признаков компрометации, включая хеши для вредоносного ПО и два домена, используемых операторами вредоносного ПО для работы C2-серверов.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://securelist.ru/soumnibot-android-banker-obfuscates-app-manifest/109320/</pre>