Logiciel malveillant mobile SoumniBot

Un cheval de Troie Android jusqu'alors inconnu, baptisé SoumniBot, est apparu et cible activement les utilisateurs en Corée du Sud. Il exploite les vulnérabilités du processus d’extraction et d’analyse des manifestes. Ce qui distingue ce malware est sa stratégie unique visant à éviter la détection et l'analyse, principalement via l'obscurcissement du fichier manifeste Android.

Chaque application Android est accompagnée d'un fichier XML manifeste nommé « AndroidManifest.xml », situé dans le répertoire racine. Ce fichier décrit les composants, les autorisations et les fonctionnalités matérielles et logicielles nécessaires de l'application.

Sachant que les chasseurs de menaces commencent généralement leur analyse en examinant le fichier manifeste de l'application pour vérifier sa fonctionnalité, les acteurs malveillants responsables du malware ont été observés utilisant trois techniques distinctes pour compliquer considérablement ce processus.

Le logiciel malveillant mobile SoumniBot prend de nouvelles mesures pour éviter la détection

L'approche initiale consiste à manipuler la valeur de la méthode de compression lors du déballage du fichier manifeste de l'APK à l'aide de la bibliothèque libziparchive. Cette méthode exploite le comportement de la bibliothèque, qui considère toute valeur autre que 0x0000 ou 0x0008 comme non compressée, permettant aux développeurs d'insérer n'importe quelle valeur sauf 8 et d'écrire des données non compressées.

Bien qu'il soit jugé invalide par les décompresseurs avec une validation appropriée de la méthode de compression, l'analyseur APK Android interprète correctement ces manifestes, permettant l'installation de l'application. Cette technique a notamment été adoptée par les acteurs malveillants associés à divers chevaux de Troie bancaires Android depuis avril 2023.

Deuxièmement, SoumniBot fabrique la taille du fichier manifeste archivé, présentant une valeur supérieure à la taille réelle. Par conséquent, le fichier « non compressé » est directement copié, l'analyseur manifeste ignorant les données « superposées » excédentaires. Alors que des analyseurs de manifeste plus stricts ne parviendraient pas à interpréter de tels fichiers, l'analyseur Android gère le manifeste défectueux sans rencontrer d'erreurs.

La dernière tactique consiste à utiliser de longs noms d'espaces de noms XML dans le fichier manifeste, ce qui complique l'allocation d'une mémoire suffisante pour que les outils d'analyse puissent les traiter. Cependant, l'analyseur de manifeste est conçu pour ignorer les espaces de noms, traitant ainsi le fichier sans générer d'erreurs.

SoumniBot cible les données sensibles sur les appareils Android violés

Après avoir été activé, SoumniBot récupère ses données de configuration à partir d'une adresse de serveur prédéfinie pour acquérir les serveurs utilisés pour transmettre les données collectées et recevoir des commandes via le protocole de messagerie MQTT.

Il est programmé pour activer un service dangereux qui redémarre toutes les 16 minutes en cas d'arrêt, garantissant ainsi un fonctionnement continu lors du téléchargement d'informations toutes les 15 secondes. Ces données comprennent les métadonnées de l'appareil, les listes de contacts, les messages SMS, les photos, les vidéos et une liste d'applications installées.

De plus, le malware possède des fonctionnalités telles que l'ajout et la suppression de contacts, l'envoi de messages SMS, le basculement en mode silencieux et l'activation du mode débogage d'Android. De plus, il peut masquer l'icône de son application, améliorant ainsi sa résistance à la désinstallation de l'appareil.

Un attribut notable de SoumniBot est sa capacité à analyser les supports de stockage externes à la recherche de fichiers .key et .der contenant des chemins menant à « /NPKI/yessign », ce qui correspond au service de certificat de signature numérique fourni par la Corée du Sud pour les services gouvernementaux (GPKI), bancaires. et à des fins de bourse en ligne (NPKI).

Ces fichiers représentent des certificats numériques délivrés par les banques coréennes à leurs clients, utilisés pour se connecter aux plateformes bancaires en ligne ou vérifier les transactions bancaires. Cette technique est relativement rare parmi les malwares bancaires Android.