Nowe złośliwe oprogramowanie dla Androida to „SoumniBot”
Specjaliści od bezpieczeństwa natknęli się na nowe złośliwe oprogramowanie dla Androida. Może ono odczytać nawet dane bankowe w naszych urządzeniach. Jak odkryli badacze z firmy Kaspersky, szkodliwe oprogramowanie „SoumniBot” wykorzystuje nowatorską metodę, wykorzystując słabości w procesie wyodrębniania i analizy manifestów plików APK dla Androida.
Pliki manifestu („AndroidManifest.xml”) znajdują się w katalogu głównym każdej aplikacji. Zawierają szczegółowe informacje o komponentach (usługach, odbiornikach transmisji, dostawcach treści), uprawnieniach i danych aplikacji.
Jak podaje Bleeping Computer, taka technika pozwala „SoumniBotowi” ominąć tradycyjne zabezpieczenia i wykraść poufne informacje. Badając szkodliwe oprogramowanie, eksperci odkryli, że „SoumniBot” wykorzystuje trzy różne metody manipulowania kompresją i rozmiarem pliku manifestu.
Trojan początkowo używa nieprawidłowej wartości kompresji podczas rozpakowywania manifestu APK, która różni się od domyślnych oczekiwanych wartości. Zamiast traktować wartości jako niedopuszczalne, parser Android APK nieprawidłowo rozpoznaje dane jako nieskompresowane. W systemie Android parsowanie zazwyczaj odnosi się do procesu analizowania i interpretowania danych w określonym formacie.
Następnym krokiem jest błędne określenie rozmiaru pliku manifestu, podanie większej wartości niż rozmiar rzeczywisty. Ponieważ plik jest oznaczony jako nieskompresowany, jest kopiowany bezpośrednio z archiwum, a różnicę uzupełniają dodatkowe dane. Według specjalistów z firmy Kaspersky powoduje to dezorientację narzędzi analitycznych. Platforma Android ma tendencję do ignorowania dodatkowych danych.
Ponadto SoumniBot używa bardzo długich ciągów znaków w nazwach przestrzeni nazw XML w manifeście, co utrudnia kontrolę narzędziom do automatycznej analizy. Często nie mają one wystarczającej ilości pamięci do ich przetworzenia.
Co się dzieje po zainfekowaniu urządzenia?
Wiadomo, że złośliwe oprogramowanie może wykorzystywać swój potencjał do wysyłania SMS-ów, dodawania i usuwania osób z listy kontaktów, ustawiania poziomów głośności dzwonka. Ma dostęp do zdjęć, filmów, a nawet certyfikatów cyfrowej bankowości internetowej.
Jeśli trojan prześle dalej SMS-y z kodami uwierzytelniającymi, właściciel urządzenia może stracić pieniądze. Zła wiadomość jest taka, że zainstalowane złośliwe oprogramowanie działa w ukryciu. W związku z tym użytkownik zainfekowanego urządzenia może nie zdawać sobie sprawy ze skali problemu. Ponadto aplikacja cały czas jest aktywna w tle i nieustannie przesyła dane z telefonu ofiary do przestępców. Co gorsza, zwykłe środki bezpieczeństwa nie mają szans w walce z nowym złośliwym oprogramowaniem dla Androida.
Kasperksy poinformował Google o tym fakcie, tak jak autorzy publikacji na ten temat z BleepingComputer. Rzecznik amerykańskiego giganta tak skomentował doniesienia o złośliwym oprogramowaniu:
„W oparciu o nasze bieżące informacje, w Google Play nie znaleziono żadnych aplikacji zawierających to złośliwe oprogramowanie. Użytkownicy Androida są automatycznie chronieni przed znanymi wersjami tego złośliwego oprogramowania przez Google Play Protect, które jest domyślnie włączone na urządzeniach z Androidem z Usługami Google Play”
Nie jest jasne, w jaki sposób SoumniBot trafia na urządzenia, ale metody mogą się różnić. Może się to odbyć poprzez dystrybucję w zewnętrznych sklepach z Androidem, niebezpiecznych witrynach internetowych, czy poprzez aktualizację legalnych aplikacji ze złośliwym kodem w zaufanych repozytoriach.
Google Play Protect może ostrzegać użytkowników lub blokować aplikacje, o których wiadomo, że wykazują złośliwe zachowanie, nawet jeśli te aplikacje pochodzą ze źródeł spoza Play. – informuje rzecznik Google
Twórcy złośliwego oprogramowania starają się zmaksymalizować liczbę infekowanych urządzeń. Przy czym pozostają niezauważeni. Motywuje ich to do poszukiwania nowych sposobów komplikowania wykrywania. Twórcy SoumniBot niestety odnieśli sukces ze względu na niewystarczająco rygorystyczną weryfikację w kodzie parsera manifestu Androida. Rozwiązania bezpieczeństwa firmy Kaspersky wykrywają SoumniBota pomimo jego wyrafinowanych technik zaciemniania i oznaczają złośliwe oprogramowanie jako Trojan-Banker.AndroidOS.SoumniBot.
