已在野外检测到一种名为SoumniBot的新 Android 木马,该木马利用清单提取和解析过程中的弱点,以韩国用户为目标。
卡巴斯基研究员 Dmitry Kalinin在技术分析中表示,该恶意软件“以逃避分析和检测的非常规方法而闻名,即混淆 Android 清单”。
每个 Android 应用程序都附带一个清单 XML 文件(“AndroidManifest.xml”),该文件位于根目录中,声明应用程序的各个组件,以及它所需的权限以及硬件和软件功能。
威胁追踪者通常会通过检查应用程序的清单文件来确定其行为来开始分析,因此恶意软件背后的威胁行为者被发现利用三种不同的技术使该过程更具挑战性。
第一种方法涉及使用 libziparchive 库解压 APK 清单文件时使用无效的压缩方法值,该库将 0x0000 或 0x0008 以外的任何值视为未压缩。
“这允许应用程序开发人员将除 8 之外的任何值放入压缩方法中并写入未压缩的数据,”Kalinin 解释道。
“虽然任何正确实现压缩方法验证的解包程序都会认为这样的清单无效,但 Android APK 解析器会正确识别它并允许安装应用程序。”
值得指出的是,自 2023 年 4 月以来,与多个 Android 银行木马相关的威胁参与者已采用该方法。
其次,SoumniBot 歪曲了归档清单文件的大小,提供了一个超过实际数字的值,结果是直接复制“未压缩”文件,清单解析器忽略了占用该文件的其余“覆盖”数据。剩余的可用空间。
“更严格的清单解析器将无法读取这样的文件,而 Android 解析器可以毫无错误地处理无效清单,”Kalinin 说。
最后一种技术与利用清单文件中的长 XML 命名空间名称有关,从而使分析工具难以分配足够的内存来处理它们。也就是说,清单解析器被设计为忽略名称空间,因此在处理文件时不会引发错误。
SoumniBot 一旦启动,就会从硬编码的服务器地址请求其配置信息,以分别获取用于发送收集的数据和使用 MQTT 消息协议接收命令的服务器。
它旨在启动一个恶意服务,如果由于某种原因终止,该服务每 16 分钟重新启动一次,并每 15 秒上传一次信息。这包括设备元数据、联系人列表、短信、照片、视频和已安装应用程序的列表。
该恶意软件还能够添加和删除联系人、发送短信、切换静默模式以及启用 Android 的调试模式,更不用说隐藏应用程序图标以使其更难从设备上卸载
SoumniBot 的一个值得注意的功能是它能够在外部存储介质中搜索包含“/NPKI/yessign”路径的 .key 和 .der 文件,“/NPKI/yessign”指的是韩国为政府 (GPKI)、银行提供的数字签名证书服务,以及在线证券交易所(NPKI)。
加里宁说:“这些文件是韩国银行向其客户颁发的数字证书,用于登录网上银行服务或确认银行交易。” “对于 Android 银行恶意软件来说,这种技术相当罕见。”
今年早些时候,网络安全公司 S2W披露了与朝鲜有关联的 Kimusuky 组织发起的恶意软件活动的详细信息,该活动利用基于 Golang 的名为 Troll Stealer 的信息窃取程序从 Windows 系统中窃取 GPKI 证书。
Kalinin 总结道:“恶意软件创建者试图在不被发现的情况下最大限度地增加其感染的设备数量。” “这促使他们寻找使检测复杂化的新方法。不幸的是,由于 Android 清单解析器代码中的验证不够严格,SoumniBot 的开发人员取得了成功。”
发表评论
您还未登录,请先登录。
登录