Malware móvil SoumniBot

Ha surgido un troyano de Android hasta ahora desconocido denominado SoumniBot, que se dirige activamente a los usuarios de Corea del Sur. Explota vulnerabilidades dentro del proceso de extracción y análisis del manifiesto. Lo que distingue a este malware es su estrategia única para evitar la detección y el análisis, principalmente mediante la ofuscación del archivo de manifiesto de Android.

Cada aplicación de Android va acompañada de un archivo XML de manifiesto denominado "AndroidManifest.xml", situado en el directorio raíz. Este archivo describe los componentes, los permisos y las características necesarias de hardware y software de la aplicación.

Al comprender que los cazadores de amenazas comúnmente inician su análisis examinando el archivo de manifiesto de la aplicación para determinar su funcionalidad, se ha observado que los actores maliciosos responsables del malware utilizan tres técnicas distintas para complicar significativamente este proceso.

El malware móvil SoumniBot toma nuevas medidas para evitar la detección

El enfoque inicial implica manipular el valor del método de compresión durante el descomprimido del archivo de manifiesto del APK utilizando la biblioteca libziparchive. Este método explota el comportamiento de la biblioteca, que considera cualquier valor distinto de 0x0000 o 0x0008 como sin comprimir, lo que permite a los desarrolladores insertar cualquier valor excepto 8 y escribir datos sin comprimir.

A pesar de que los desempaquetadores lo consideran inválido con la validación del método de compresión adecuado, el analizador APK de Android interpreta correctamente dichos manifiestos, lo que permite la instalación de la aplicación. En particular, esta técnica ha sido adoptada por actores de amenazas asociados con varios troyanos bancarios de Android desde abril de 2023.

En segundo lugar, SoumniBot fabrica el tamaño del archivo de manifiesto archivado, presentando un valor que excede el tamaño real. En consecuencia, el archivo "sin comprimir" se copia directamente y el analizador del manifiesto ignora los datos "superpuestos" sobrantes. Si bien los analizadores de manifiestos más estrictos no podrían interpretar dichos archivos, el analizador de Android maneja el manifiesto defectuoso sin encontrar errores.

La táctica final implica emplear nombres de espacios de nombres XML largos dentro del archivo de manifiesto, lo que complica la asignación de suficiente memoria para que las herramientas de análisis los procesen. Sin embargo, el analizador de manifiesto está diseñado para ignorar los espacios de nombres, por lo que procesa el archivo sin generar ningún error.

SoumniBot apunta a datos confidenciales en dispositivos Android vulnerados

Después de activarse, SoumniBot recupera sus datos de configuración de una dirección de servidor preestablecida para adquirir los servidores utilizados para transmitir los datos recopilados y recibir comandos a través del protocolo de mensajería MQTT.

Está programado para activar un servicio inseguro que se reinicia cada 16 minutos en caso de terminación, garantizando un funcionamiento continuo mientras carga información cada 15 segundos. Estos datos abarcan metadatos del dispositivo, listas de contactos, mensajes SMS, fotos, vídeos y una lista de aplicaciones instaladas.

Además, el malware posee funcionalidades, como agregar y eliminar contactos, enviar mensajes SMS, alternar el modo silencioso y activar el modo de depuración de Android. Además, puede ocultar el icono de su aplicación, mejorando su resistencia a la desinstalación del dispositivo.

Un atributo notable de SoumniBot es su capacidad para escanear medios de almacenamiento externos en busca de archivos .key y .der que contengan rutas que conduzcan a '/NPKI/yessign', que corresponde al servicio de certificado de firma digital proporcionado por Corea del Sur para entidades gubernamentales (GPKI), bancarias. y fines de bolsa de valores en línea (NPKI).

Estos archivos representan certificados digitales emitidos por bancos coreanos a sus clientes, utilizados para iniciar sesión en plataformas bancarias en línea o verificar transacciones bancarias. Esta técnica es relativamente poco común entre el malware bancario para Android.