Ένα νέο Android banking malware με το όνομα “SoumniBotεκμεταλλεύεται bugs στο Android manifest extraction και parsing procedure. Χάρη σε αυτή την προσέγγιση, το malware αποφεύγει τα τυπικά μέτρα ασφαλείας των τηλεφώνων Android και κλέβει πληροφορίες. Το SoumniBot ανακαλύφθηκε και αναλύθηκε από ερευνητές της Kaspersky.

Εκμετάλλευση του parser του Android

Τα Manifest files (“AndroidManifest.xml”) υπάρχουν στον root directory κάθε εφαρμογής και περιέχουν λεπτομέρειες σχετικά με στοιχεία (υπηρεσίες, broadcast receivers, πάροχοι περιεχομένου), άδειες και δεδομένα εφαρμογών.

Σύμφωνα με τους ερευνητές της Kaspersky, το Android banking malware SoumniBot χρησιμοποιεί τρεις διαφορετικές μεθόδους, που περιλαμβάνουν τον χειρισμό της συμπίεσης και του μεγέθους ενός manifest file, για να παρακάμψει τους ελέγχους ανάλυσης:

Μέθοδος 1

Το SoumniBot χρησιμοποιεί ένα μη έγκυρο compression value κατά το unpacking του manifest file του APK. Αυτό αποκλίνει από τις τυπικές τιμές (0 ή 8) που αναμένονται από τη βιβλιοθήκη “libziparchive” του Android, που έχει αναλάβει αυτόν τον ρόλο.

Αντί να αντιμετωπίζει αυτές τις τιμές ως μη αποδεκτές, το Android APK parser αναγνωρίζει τα δεδομένα ως μη συμπιεσμένα λόγω ενός bug, επιτρέποντας στο APK να παρακάμψει τους ελέγχους ασφαλείας και να συνεχίσει την εκτέλεση στη συσκευή.

Δείτε επίσης: Το PixPirate banking trojan στοχεύει χρήστες στη Βραζιλία

Μέθοδος 2

Η δεύτερη μέθοδος, που χρησιμοποιεί το Android banking malware SoumniBot, περιλαμβάνει την εσφαλμένη αναφορά του μεγέθους του manifest file στο APK, παρέχοντας μια τιμή μεγαλύτερη από την πραγματική. Δεδομένου ότι το αρχείο έχει επισημανθεί ως μη συμπιεσμένο στο προηγούμενο βήμα, αντιγράφεται απευθείας από το αρχείο, με junk “overlay” data να αντισταθμίζουν τη διαφορά.

Αυτά τα επιπλέον δεδομένα δεν βλάπτουν άμεσα τη συσκευή, καθώς το Android τα αγνοεί, αλλά μπερδεύουν τα εργαλεία ανάλυσης κώδικα.

Μέθοδος 3

Η τρίτη τεχνική αποφυγής είναι η χρήση πολύ μεγάλων συμβολοσειρών για τα ονόματα των XML namespaces στο manifest file. Ως αποτέλεσμα, τα εργαλεία αυτοματοποιημένης ανάλυσης δυσκολεύονται να τα ελέγξουν.

Οι ερευνητές της Kaspersky ενημέρωσαν τη Google σχετικά με την αδυναμία του APK Analyzer (του επίσημου βοηθητικού προγράμματος ανάλυσης του Android), να χειρίζεται αρχεία που χρησιμοποιούν τις παραπάνω μεθόδους διαφυγής.

Android banking malware SoumniBot

Κατά την εκκίνηση, το SoumniBot ζητά τα configuration parameters του από ένα hardcoded server address και στέλνει πληροφορίες προφίλ για τη μολυσμένη συσκευή.

Δείτε επίσης: CHAVECLOAK: Νέο banking trojan στοχεύει χρήστες στη Βραζιλία

Στη συνέχεια, ξεκινά μια κακόβουλη υπηρεσία που μεταδίδει κλεμμένα δεδομένα του θύματος κάθε 15 δευτερόλεπτα. Τα κλεμμένα δεδομένα περιλαμβάνουν διευθύνσεις IP, λίστες επαφών, στοιχεία λογαριασμού, μηνύματα SMS, φωτογραφίες, βίντεο και online banking ψηφιακά πιστοποιητικά.

Η κλοπή δεδομένων γίνεται αφού το malware λάβει εντολή από έναν διακομιστή MQTT. Άλλες εντολές περιλαμβάνουν:

  • Διαγραφή υπαρχουσών ή προσθήκη νέων επαφών
  • Αποστολή μηνύματος SMS (προώθηση)
  • Ρύθμιση επιπέδων έντασης ήχου κλήσης
  • Ενεργοποίηση ή απενεργοποίηση της αθόρυβης λειτουργίας
  • Ενεργοποίηση ή απενεργοποίηση της λειτουργίας εντοπισμού σφαλμάτων στη συσκευή

Οι ερευνητές δεν έχουν ανακαλύψει πώς το Android banking malware SoumniBot φτάνει στις συσκευές στόχους. Θα μπορούσε να βρίσκεται μέσα σε φαινομενικά νόμιμες εφαρμογές σε Android καταστήματα τρίτων ή να εισάγεται μέσω κάποιας μεταγενέστερης ενημέρωσης σε νόμιμες εφαρμογές. Επίσης, μπορεί να γίνεται λήψη από αναξιόπιστους ιστότοπους ή να χρησιμοποιείται κάποια τεχνική phishing.

Το SoumniBot στοχεύει κυρίως Κορεάτες χρήστες και κρύβει το εικονίδιό του μετά την εγκατάσταση, για να είναι πιο δύσκολη η κατάργησή του. Ωστόσο, παραμένει ενεργό στο παρασκήνιο, κλέβοντας δεδομένα από το θύμα.

Δείτε επίσης: Hackers καταχρώνται το Google Cloud Run για διανομή banking trojans

Προστασία από Android banking malware

  • Η εγκατάσταση antivirus λογισμικών είναι ουσιαστική για την προστασία της συσκευής σας. Αυτά τα λογισμικά μπορούν να αναγνωρίσουν και να απομακρύνουν το malware πριν αυτό προκαλέσει ζημιά.
  • Είναι σημαντικό να κρατάτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από το malware.
  • Αποφύγετε την εγκατάσταση εφαρμογών από πηγές τρίτων. Οι εφαρμογές αυτές δεν έχουν υποστεί τον ίδιο έλεγχο ασφαλείας με αυτές στο Google Play Store και μπορεί να περιέχουν malware (π.χ. SoumniBot).
  • Προσέξτε τις άδειες που ζητούν οι εφαρμογές. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζεται, μπορεί να είναι καλύτερο να μην την εγκαταστήσετε.
  • Προσέχετε τα μηνύματα phishing που μπορεί να προσπαθούν να σας παρακινήσουν να κατεβάσετε malware. Αυτά τα μηνύματα μπορεί να φαίνονται ότι προέρχονται από νόμιμες πηγές, αλλά συχνά περιέχουν συνδέσμους ή συνημμένα που μπορούν να εγκαταστήσουν malware στη συσκευή σας.
  • Τέλος, είναι σημαντικό να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό μπορεί να βοηθήσει στην αποκατάσταση των πληροφοριών σας εάν η συσκευή σας προσβληθεί από malware (π.χ. SoumniBot).

Πηγή: www.bleepingcomputer.com