Um novo trojan Android chamado SoumniBot foi detectado em liberdade visando usuários na Coreia do Sul, aproveitando as fraquezas na extração de manifesto e procedimento de análise.
O malware é “notável por uma abordagem não convencional para evitar análise e detecção, ou seja, ofuscação do manifesto do Android”, disse o pesquisador da Kaspersky, Dmitry Kalinin, em uma análise técnica.
Todo aplicativo Android vem com um arquivo XML de manifesto (“AndroidManifest.xml”) localizado no diretório raiz e declara os vários componentes do aplicativo, bem como as permissões e os recursos de {hardware} e software program necessários.
Sabendo que os caçadores de ameaças normalmente iniciam sua análise inspecionando o arquivo de manifesto do aplicativo para determinar seu comportamento, descobriu-se que os agentes da ameaça por trás do malware utilizam três técnicas diferentes para tornar o processo muito mais desafiador.
O primeiro método envolve o uso de um valor inválido do método de compactação ao descompactar o arquivo de manifesto do APK usando a biblioteca libziparchive, que trata qualquer valor diferente de 0x0000 ou 0x0008 como descompactado.
“Isso permite que os desenvolvedores de aplicativos coloquem qualquer valor, exceto 8, no método de compactação e gravem dados não compactados”, explicou Kalinin.
“Embora qualquer descompactador que implemente corretamente a validação do método de compactação considere um manifesto como esse inválido, o analisador APK do Android o reconhece corretamente e permite que o aplicativo seja instalado.”
Vale ressaltar aqui que o método foi adotado por agentes de ameaças associados a vários trojans bancários Android desde abril de 2023.
Em segundo lugar, SoumniBot deturpa o tamanho do arquivo de manifesto arquivado, fornecendo um valor que excede o valor actual, como resultado do qual o arquivo “descompactado” é copiado diretamente, com o analisador de manifesto ignorando o restante dos dados de “sobreposição” que ocupam o restante do espaço disponível.
“Analisadores de manifesto mais rigorosos não seriam capazes de ler um arquivo como esse, enquanto o analisador Android lida com o manifesto inválido sem erros”, disse Kalinin.
A técnica last tem a ver com a utilização de nomes longos de namespaces XML no arquivo de manifesto, dificultando assim que as ferramentas de análise aloquem memória suficiente para processá-los. Dito isto, o analisador de manifesto foi projetado para ignorar namespaces e, como resultado, nenhum erro é gerado ao manipular o arquivo.
O SoumniBot, uma vez iniciado, solicita suas informações de configuração de um endereço de servidor codificado para obter os servidores usados para enviar os dados coletados e receber comandos usando o protocolo de mensagens MQTT, respectivamente.
Ele foi projetado para lançar um serviço malicioso que reinicia a cada 16 minutos se for encerrado por algum motivo e carrega as informações a cada 15 segundos. Isso inclui metadados do dispositivo, listas de contatos, mensagens SMS, fotos, vídeos e uma lista de aplicativos instalados.
O malware também é capaz de adicionar e excluir contatos, enviar mensagens SMS, alternar o modo silencioso e ativar o modo de depuração do Android, sem mencionar a ocultação do ícone do aplicativo para dificultar a desinstalação do dispositivo.
Um recurso digno de nota do SoumniBot é sua capacidade de pesquisar na mídia de armazenamento externa arquivos .key e .der contendo caminhos para “/NPKI/yessign”, que se refere ao serviço de certificado de assinatura digital oferecido pela Coreia do Sul para governos (GPKI), bancos e bolsas de valores on-line (NPKI).
“Esses arquivos são certificados digitais emitidos por bancos coreanos para seus clientes e usados para entrar em serviços bancários on-line ou confirmar transações bancárias”, disse Kalinin. “Esta técnica é bastante incomum para malware bancário Android.”
No início deste ano, a empresa de segurança cibernética S2W revelou detalhes de uma campanha de malware realizada pelo grupo Kimusuky, ligado à Coreia do Norte, que utilizou um ladrão de informações baseado em Golang chamado Troll Stealer para desviar certificados GPKI de sistemas Home windows.
“Os criadores de malware procuram maximizar o número de dispositivos que infectam sem serem notados”, concluiu Kalinin. “Isso os motiva a procurar novas maneiras de complicar a detecção. Os desenvolvedores do SoumniBot infelizmente tiveram sucesso devido a validações insuficientemente rigorosas no código do analisador de manifesto do Android.”
