Trojan Android 'SoumniBot' mới trốn tránh sự phát hiện bằng các chiêu trò tinh vi
Một trojan Android mới có tên SoumniBot đã được phát hiện nhắm mục tiêu vào người dùng ở Hàn Quốc bằng cách lợi dụng điểm yếu trong quy trình phân tích và trích xuất tệp kê khai.
Nhà nghiên cứu của Kaspersky, Dmitry Kalinin cho biết trong một phân tích kỹ thuật: “Phần mềm độc hại này “đáng chú ý vì cách tiếp cận độc đáo nhằm trốn tránh phân tích và phát hiện, cụ thể là làm xáo trộn bảng kê khai Android”.
Mọi ứng dụng Android đều đi kèm với một tệp XML kê khai ("AndroidManifest.xml") nằm trong thư mục gốc và khai báo các thành phần khác nhau của ứng dụng cũng như các quyền cũng như tính năng phần cứng và phần mềm mà ứng dụng yêu cầu.
Biết rằng những kẻ săn mối đe dọa thường bắt đầu phân tích bằng cách kiểm tra tệp kê khai của ứng dụng để xác định hành vi của nó, các tác nhân đe dọa đằng sau phần mềm độc hại đã được phát hiện đã tận dụng ba kỹ thuật khác nhau để khiến quá trình này trở nên khó khăn hơn rất nhiều.
Phương pháp đầu tiên liên quan đến việc sử dụng giá trị Phương thức nén không hợp lệ khi giải nén tệp kê khai của APK bằng thư viện libziparchive, thư viện này xử lý mọi giá trị khác ngoài 0x0000 hoặc 0x0008 là không nén.
Kalinin giải thích: “Điều này cho phép các nhà phát triển ứng dụng đặt bất kỳ giá trị nào ngoại trừ 8 vào phương thức Nén và ghi dữ liệu không nén”.
"Mặc dù bất kỳ trình giải nén nào thực hiện xác thực phương pháp nén một cách chính xác sẽ coi một bảng kê khai như vậy là không hợp lệ, nhưng trình phân tích cú pháp APK của Android sẽ nhận ra nó một cách chính xác và cho phép cài đặt ứng dụng."
Điều đáng nói ở đây là phương pháp này đã được các tác nhân đe dọa liên quan đến một số trojan ngân hàng Android áp dụng kể từ tháng 4 năm 2023.
Thứ hai, SoumniBot trình bày sai kích thước tệp kê khai được lưu trữ, cung cấp một giá trị vượt quá con số thực tế, do đó tệp "không nén" được sao chép trực tiếp, với trình phân tích cú pháp tệp kê khai bỏ qua phần còn lại của dữ liệu "lớp phủ" chiếm phần còn lại của không gian có sẵn.
Kalinin cho biết: “Các trình phân tích cú pháp tệp kê khai chặt chẽ hơn sẽ không thể đọc một tệp như vậy, trong khi trình phân tích cú pháp Android xử lý tệp kê khai không hợp lệ mà không có bất kỳ lỗi nào”.
Kỹ thuật cuối cùng liên quan đến việc sử dụng các tên không gian tên XML dài trong tệp kê khai, do đó gây khó khăn cho các công cụ phân tích trong việc phân bổ đủ bộ nhớ để xử lý chúng. Điều đó có nghĩa là trình phân tích cú pháp tệp kê khai được thiết kế để bỏ qua các vùng tên và do đó, không có lỗi nào phát sinh khi xử lý tệp.
SoumniBot, sau khi được khởi chạy, sẽ yêu cầu thông tin cấu hình của nó từ một địa chỉ máy chủ được mã hóa cứng để lấy các máy chủ được sử dụng để gửi dữ liệu đã thu thập và nhận lệnh bằng giao thức nhắn tin MQTT tương ứng.
Nó được thiết kế để khởi chạy một dịch vụ độc hại khởi động lại sau mỗi 16 phút nếu nó chấm dứt vì lý do nào đó và tải thông tin lên cứ sau 15 giây. Điều này bao gồm siêu dữ liệu của thiết bị, danh sách liên hệ, tin nhắn SMS, ảnh, video và danh sách các ứng dụng đã cài đặt.
Phần mềm độc hại cũng có khả năng thêm và xóa danh bạ, gửi tin nhắn SMS, chuyển đổi chế độ im lặng và bật chế độ gỡ lỗi của Android, chưa kể đến việc ẩn biểu tượng ứng dụng để khiến việc gỡ cài đặt khỏi thiết bị trở nên khó khăn hơn.
Một tính năng đáng chú ý của SoumniBot là khả năng tìm kiếm phương tiện lưu trữ bên ngoài cho các tệp .key và .der chứa đường dẫn đến "/NPKI/yessign", đề cập đến dịch vụ chứng chỉ chữ ký số do Hàn Quốc cung cấp cho chính phủ (GPKI), ngân hàng và sàn giao dịch chứng khoán trực tuyến (NPKI).
Kalinin cho biết: “Những tệp này là chứng chỉ kỹ thuật số do các ngân hàng Hàn Quốc cấp cho khách hàng của họ và được sử dụng để đăng nhập vào các dịch vụ ngân hàng trực tuyến hoặc xác nhận các giao dịch ngân hàng”. “Kỹ thuật này khá hiếm gặp đối với phần mềm độc hại ngân hàng Android.”
Những kẻ tạo phần mềm độc hại tìm cách tối đa hóa số lượng thiết bị mà chúng lây nhiễm mà không bị chú ý. Điều này thúc đẩy họ tìm kiếm những cách mới để phát hiện phức tạp. Thật không may, các nhà phát triển SoumniBot đã thành công do xác thực không đủ nghiêm ngặt trong mã trình phân tích cú pháp tệp kê khai Android.
Khi đưa ra bình luận, Google nói với The Hacker News rằng họ không tìm thấy ứng dụng nào chứa SoumniBot trên Cửa hàng Google Play dành cho Android.
Người dùng Android được tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này bằng Google Play Protect, tính năng này được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại, ngay cả khi những ứng dụng đó xuất hiện từ các nguồn bên ngoài Play.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...