'Soumnibot' adlı yeni bir Android bankacılık kötü amaçlı yazılım, Android Manifest Ekstraksiyonu ve Ayrıştırma Prosedüründeki zayıflıklardan yararlanarak daha az yaygın bir gizleme yaklaşımı kullanıyor.
Yöntem, Soumnibot'un Android telefonlarda bulunan standart güvenlik önlemlerinden kaçınmasını ve bilgi verme işlemleri gerçekleştirmesini sağlar.
Kötü amaçlı yazılım, APK tezahürlerini ayrıştırmak ve çıkarmak için Android rutininden yararlanmak için kötü amaçlı yazılımlar hakkında teknik ayrıntılar sağlayan Kaspersky araştırmacıları tarafından keşfedildi ve analiz edildi.
Manifest dosyaları ('AndroidManifest.xml') her uygulamanın kök dizininde bulunur ve bileşenler (hizmetler, yayın alıcıları, içerik sağlayıcıları), izinler ve uygulama verileri hakkında ayrıntılar içerir.
Zimperium çeşitli sıkıştırma hileleri olsa da, kötü niyetli APK'ların güvenlik araçlarını kandırmak ve analizden kaçmak için kullanabileceği, Kaspersky analistleri, soumnibot'un parser kontrollerini atlamak için manifest dosyasının sıkıştırma ve boyutunun manipülasyonunu içeren üç farklı yöntem kullandığını buldu.
İlk olarak, Soumnibot, APK'nın manifest dosyasını açarken geçersiz bir sıkıştırma değeri kullanır, bu da rolle görevlendirilen Android 'Libziparchive' kütüphanesi tarafından beklenen standart değerlerden (0 veya 8) ayrılır.
Bu değerleri kabul edilemez olarak ele almak yerine, Android APK ayrıştırıcısı, bir hata nedeniyle verileri sıkıştırılmamış olarak tanımayı varsayılan olarak varsayılan olarak, APK'nın güvenlik kontrollerini atlamasına ve cihazda yürütmeye devam etmesine izin verir.
İkinci yöntem, APK'daki manifest dosyasının boyutunu yanlış bildirmeyi ve gerçek rakamdan daha büyük bir değer sağlamayı içerir.
Dosya önceki adımda sıkıştırılmamış olarak işaretlendiğinden, doğrudan arşivden kopyalanır, önemi dolduran önemsiz "kaplama" verileri.
Kaspersky, bu ekstra verilerin cihaza doğrudan zarar vermemesine rağmen, Android onu görmezden gelmeye ayarlandığından, kod analiz araçlarını karıştırmada önemli bir rol oynadığını açıklıyor.
Üçüncü kaçırma tekniği, manifest dosyasındaki XML ad alanlarının adları için çok uzun dizeler kullanmaktır, bu da otomatik analiz araçlarının bunları kontrol etmesini çok zorlaştırır, bu da bunları işlemek için yeterli belleğe sahip değildir.
Kaspersky, Google'a Android'in resmi analiz yardımcı programı APK analizörünün yukarıdaki kaçırma yöntemlerini kullanarak dosyaları işleyememesini bildirdi.
BleepingComputer ayrıca bir yorum için Google ile iletişime geçti ve bir sözcü aşağıdaki ifadeyle yanıt verdi:
Mevcut algılamamıza dayanarak, bu kötü amaçlı yazılımları içeren hiçbir uygulama Google Play'de bulunmamaktadır. Android kullanıcıları, Google Play Services ile Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımların bilinen sürümlerine otomatik olarak korunur.
Google Play Protect, bu uygulamalar oyun dışındaki kaynaklardan gelse bile, kötü niyetli davranışlar sergilediği bilinen kullanıcıları veya blokları engelleyebilir. - Google Sözcüsü
Başlatıldıktan sonra, Soumnibot yapılandırma parametrelerini sert kodlanmış bir sunucu adresinden ister ve enfekte olmuş cihaz için sayı, taşıyıcı vb.
Daha sonra, durursa her 16 dakikada bir yeniden başlatan kötü amaçlı bir hizmet başlatır ve kurbandan çalınan verileri her 15 saniyede bir iletir.
Pessed edilmiş ayrıntılar IP adresleri, iletişim listeleri, hesap detayları, SMS mesajları, fotoğraflar, videolar ve çevrimiçi bankacılık dijital sertifikalarını içerir.
Veri eksfiltrasyonu, kötü amaçlı yazılımların bir MQTT sunucusu aracılığıyla aldığı komutlar tarafından kontrol edilir. Bu komutlar ayrıca aşağıdakiler gibi işlevler sipariş edin:
Soumnibot'un cihazlara nasıl ulaştığı belirsizdir, ancak yöntemler üçüncü taraf Android mağazaları ve güvenli olmayan web siteleri üzerindeki dağıtımdan güvenilir depolardaki kötü amaçlı kod meşru uygulamalarla güncellenmeye kadar değişebilir.
Soumnibot Koreli kullanıcıları hedefliyor ve birçok kötü niyetli Android uygulaması gibi, yüklemeden sonra simgesini kaldırmayı zorlaştırmak için gizler. Ancak, kurbandan veri yükleyerek arka planda aktif kalır.
Kaspersky, kötü amaçlı yazılım için karma ve kötü amaçlı yazılım operatörlerinin komut ve kontrol etkinliği için kullandığı iki alan içeren kısa bir uzlaşma göstergesi sunar.
Güncelleme 4/18 - Google Yorumu eklendi
McAfee Güvenlik Uygulaması olarak Android Pozlar için Vultur Bankacılık Kötü Yazılım
Apple: Paralı casus yazılım saldırıları 92 ülkede hedef iphone kullanıcıları
Google, adli tıp firmaları tarafından sömürülen iki piksel sıfır gün kusurunu düzeltir
Google Play'deki Ücretsiz VPN Uygulamaları Android telefonları vekillere dönüştürdü
Pixpirate Android kötü amaçlı yazılım, telefonlarda gizlemek için yeni taktik kullanıyor
Kaynak: Bleeping Computer