本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
一种名为“SoumniBot”的新Android银行恶意软件通过利用Android清单提取和解析过程中的弱点,使用了新的混淆方法。
该方法使SoumniBot能够规避Android手机中的标准安全措施并执行信息窃取操作。
研究人员发现并分析后提供了该恶意软件利用Android例程解析和提取APK清单的方法的技术细节。
欺骗Android的解析器
清单文件(“AndroidManifest.xml”)位于每个应用程序的根目录中,包含有关组件(服务、广播接收器、内容提供程序)、权限和应用程序数据的详细信息。
虽然恶意APK可以使用Zimperium的各种压缩技巧来愚弄安全工具并逃避分析,但分析师发现SoumniBot使用了三种不同的方法来绕过解析器检查,其中涉及操纵清单文件的压缩和大小。
首先,SoumniBot在解压APK的清单文件时使用无效的压缩值,该值与负责该角色的Android“libziparchive”库预期的标准值(0或8)不同。
Android APK解析器不会将这些值视为不可接受,而是默认将数据识别为由于错误而未压缩,从而允许APK绕过安全检查并继续在设备上执行。
从APK中提取清单文件
第二种方法涉及错误报告APK中清单文件的大小,提供大于实际数字的值。
由于该文件在上一步中已被标记为未压缩,因此直接从存档中复制该文件,并用垃圾“覆盖”数据填充差异。
虽然这些额外的数据不会直接损害设备,但它在混淆代码分析工具方面发挥着至关重要的作用。
报告错误的文件大小
第三种规避技术是在清单文件中使用非常长的字符串作为XML命名空间的名称,这使得自动分析工具很难检查到它们,而自动分析工具通常缺乏足够的内存来处理它们。
清单中的长字符串
Android官方分析实用程序APK分析器无法使用上述规避方法处理文件。
SoumniBot威胁
启动后,SoumniBot从硬编码服务器地址请求其配置参数,并发送受感染设备的分析信息,包括编号、运营商等。
接下来,它会启动一个恶意服务,如果停止,该服务每16分钟就会重新启动一次,并每15秒传输一次从受害者那里窃取的数据。
泄露的详细信息包括IP地址、联系人列表、帐户详细信息、短信、照片、视频和网上银行数字证书。数据泄露由恶意软件通过MQTT服务器接收的命令控制,这些命令还对以下功能进行排序:
·删除现有联系人或添加新联系人
·发送短信(转发)
·设置铃声音量
·打开或关闭静音模式
·打开或关闭设备上的调试模式
目前尚不清楚SoumniBot如何到达设备,但方法可能有所不同,从通过第三方Android商店和不安全网站分发到使用受信任存储库中的恶意代码更新合法应用程序。
SoumniBot主要针对韩国用户,与许多恶意Android应用程序一样,它在安装后隐藏其图标,使其更难以删除。其实,它在后台仍然活跃,并从受害者处上传数据。
