Một trojan Android mới được gọi là SoumniBot đã được phát hiện trong tự nhiên nhắm mục tiêu người dùng ở Hàn Quốc bằng cách tận dụng các điểm yếu trong quy trình trích xuất và phân tích cú pháp kê khai.
Phần mềm độc hại "đáng chú ý vì một cách tiếp cận độc đáo để trốn tránh phân tích và phát hiện, cụ thể là làm xáo trộn tệp kê khai Android", nhà nghiên cứu Dmitry Kalinin của Kaspersky cho biết trong một phân tích kỹ thuật.
Mỗi ứng dụng Android đều đi kèm với một tệp XML kê khai ("AndroidManifest.xml") nằm trong thư mục gốc và khai báo các thành phần khác nhau của ứng dụng, cũng như các quyền và các tính năng phần cứng và phần mềm mà nó yêu cầu.
Biết rằng các thợ săn mối đe dọa thường bắt đầu phân tích bằng cách kiểm tra tệp kê khai của ứng dụng để xác định hành vi của nó, các tác nhân đe dọa đằng sau phần mềm độc hại đã được tìm thấy tận dụng ba kỹ thuật khác nhau để làm cho quá trình trở nên khó khăn hơn rất nhiều.
Phương pháp đầu tiên liên quan đến việc sử dụng giá trị phương thức nén không hợp lệ khi giải nén tệp kê khai của APK bằng thư viện libziparchive, thư viện này coi bất kỳ giá trị nào khác ngoài 0x0000 hoặc 0x0008 là không nén.
SoumniBot, sau khi được khởi chạy, yêu cầu thông tin cấu hình của nó từ một địa chỉ máy chủ được mã hóa cứng để lấy các máy chủ được sử dụng để gửi dữ liệu được thu thập và nhận lệnh bằng giao thức nhắn tin MQTT, tương ứng.
Nó được thiết kế để khởi chạy một dịch vụ độc hại khởi động lại sau mỗi 16 phút nếu nó chấm dứt vì một số lý do và tải lên thông tin cứ sau 15 giây. Điều này bao gồm siêu dữ liệu thiết bị, danh sách liên hệ, tin nhắn SMS, ảnh, video và danh sách các ứng dụng đã cài đặt.
Phần mềm độc hại cũng có khả năng thêm và xóa danh bạ, gửi tin nhắn SMS, chuyển đổi chế độ im lặng và bật chế độ gỡ lỗi của Android, chưa kể đến việc ẩn biểu tượng ứng dụng để khiến việc gỡ cài đặt khỏi devic trở nên khó khăn hơn
Một tính năng đáng chú ý của SoumniBot là khả năng tìm kiếm phương tiện lưu trữ bên ngoài cho các tệp .key và .der có chứa đường dẫn đến "/ NPKI / yessign", đề cập đến dịch vụ chứng chỉ chữ ký số do Hàn Quốc cung cấp cho chính phủ (GPKI), ngân hàng và sàn giao dịch chứng khoán trực tuyến (NPKI).
"Các tệp này là chứng chỉ kỹ thuật số do các ngân hàng Hàn Quốc cấp cho khách hàng của họ và được sử dụng để đăng nhập vào các dịch vụ ngân hàng trực tuyến hoặc xác nhận giao dịch ngân hàng", Kalinin nói. "Kỹ thuật này khá hiếm gặp đối với phần mềm độc hại ngân hàng Android."
Khi được đưa ra bình luận, Google nói với The Hacker VN rằng họ không tìm thấy ứng dụng nào chứa SoumniBot trên Cửa hàng Google Play dành cho Android.
"Người dùng Android được Google Play Protect tự động bảo vệ chống lại các phiên bản đã biết của phần mềm độc hại này, được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được xác định là có hành vi độc hại, ngay cả khi những ứng dụng đó đến từ các nguồn bên ngoài Play".