Android Trojan ตัวใหม่ ‘SoumniBot’ หลบหลีกการตรวจจับด้วยเทคนิคที่ชาญฉลาด

พบ Android Trojan ตัวใหม่ชื่อ SoumniBot ในกลุ่มผู้ใช้ที่ตกเป็นเป้าหมายในเกาหลีใต้ โดยการใช้จุดอ่อนในขั้นตอนการแยก และวิเคราะห์ไฟล์ Manifest ในระบบปฏิบัติการ Android

Dmitry Kalinin นักวิจัยของ Kaspersky ระบุในการวิเคราะห์ทางเทคนิคว่า “มัลแวร์ดังกล่าวมีความโดดเด่นในเรื่องการหลบเลี่ยงการวิเคราะห์ และการตรวจจับ ซึ่งหลัก ๆ คือการ obfuscation Manifest ของ Android”

ทุกแอปบน Android มาพร้อมกับไฟล์ XML ที่เรียกว่า manifest ("AndroidManifest.xml") ซึ่งอยู่ในไดเรกทอรีหลัก และกำหนดส่วนประกอบต่าง ๆ ของแอป ตลอดจนสิทธิ์ และคุณสมบัติด้านฮาร์ดแวร์ และด้านซอฟต์แวร์ที่ต้องการ

เมื่อรู้ว่านักวิจัยมักจะเริ่มการวิเคราะห์ด้วยการตรวจสอบไฟล์ Manifest ของแอปเพื่อตรวจสอบพฤติกรรม ผู้โจมตีที่อยู่เบื้องหลังมัลแวร์จึงใช้เทคนิคที่แตกต่างกันสามวิธีเพื่อทำให้กระบวนการนี้ยากมากขึ้น

วิธีการแรกเกี่ยวข้องกับการใช้ค่าที่ไม่ถูกต้องของวิธีการ Compression เมื่อแยกไฟล์ manifest ของ APK โดยใช้ไลบรารี libziparchive ซึ่งจะถือว่าค่าใด ๆ ก็ตามที่ไม่ใช่ 0x0000 หรือ 0x0008 เป็นข้อมูลที่ยังไม่ถูกบีบอัด วิธีนี้ได้ถูกนำมาใช้โดยผู้โจมตีที่เกี่ยวข้องกับ Android banking trojans หลายชนิดตั้งแต่เมษายน 2023 เป็นต้นมา

วิธีที่สอง SoumniBot จะปลอมขนาดของไฟล์ archive โดยให้ค่าที่เกินขนาดจริง ซึ่งส่งผลให้ไฟล์ที่ "uncompressed" ถูกคัดลอกโดยตรง โดยตัว manifest parser จะไม่สนใจส่วนที่เหลือของข้อมูล "overlay" ที่ใช้พื้นที่ว่างที่เหลือ

วิธีสุดท้ายเกี่ยวข้องกับการใช้ชื่อเนมสเปซ XML แบบยาวในไฟล์ Manifest ซึ่งทำให้ยากสำหรับเครื่องมือวิเคราะห์ ในการจัดสรรหน่วยความจำให้เพียงพอในการประมวลผล ดังนั้นเครื่องมือวิเคราะห์ซึ่งได้รับการออกแบบให้ยกเว้นเนมสเปซ จึงทำให้ไม่พบความผิดปกติเกิดขึ้นเมื่อจัดการกับไฟล์

SoumniBot เมื่อเปิดใช้งานแล้ว จะขอข้อมูล configuration จาก hard-coded เซิร์ฟเวอร์ เพื่อใช้สำหรับส่งข้อมูลที่เก็บรวบรวม และรับคำสั่งโดยใช้โปรโตคอล MQTT ตามลำดับ

มัลแวร์ถูกออกแบบมาให้รีสตาร์ททุก ๆ 16 นาทีหากมีการหยุดทำงาน และอัปโหลดข้อมูลทุก ๆ 15 วินาที ซึ่งรวมถึง metadata ของอุปกรณ์, รายชื่อติดต่อ, SMS, รูปภาพ, วิดีโอ และรายการแอปพลิเคชันที่ติดตั้ง และยังสามารถเพิ่ม และลบข้อมูลผู้ติดต่อ, ส่งข้อความ SMS, เปิด และปิด silent mode และเปิดใช้งาน debug mode ของ Android รวมถึงการซ่อนไอคอนแอปเพื่อทำให้มันยากต่อการถอนการติดตั้งจากอุปกรณ์

คุณลักษณะที่น่าสนใจของ SoumniBot คือความสามารถในการค้นหา external storage สำหรับไฟล์ .key และ .der ซึ่งประกอบไปด้วย paths "/NPKI/yessign" ซึ่งเป็นบริการ digital signature certificate ที่ใช้โดยรัฐบาลเกาหลีใต้ (GPKI), ธนาคาร และตลาดหุ้นออนไลน์ (NPKI)

ก่อนหน้านี้ บริษัทด้านความปลอดภัยด้านไซเบอร์ S2W เปิดเผยรายละเอียดของแคมเปญมัลแวร์ที่ดำเนินการโดยกลุ่ม Kimusuky ที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือ ซึ่งใช้ Troll Stealer ที่ใช้ภาษา Golang เป็นเครื่องมือสำหรับดักรับข้อมูลเพื่อขโมยใบรับรอง GPKI จากระบบ Windows

Kalinin สรุปว่า "ผู้สร้างมัลแวร์มีจุดมุ่งหมายในการเพิ่มจำนวนอุปกรณ์ที่ติดมัลแวร์โดยผู้ใช้งานไม่รู้ตัว" "ทำให้พวกเขามีแรงจูงใจในการค้นหาวิธีใหม่ที่ทำให้การตรวจจับยากยิ่งขึ้น"

Google ระบุว่าไม่พบแอปที่มี SoumniBot บน Google Play Store สำหรับ Android โดย ผู้ใช้งาน Android จะได้รับการป้องกันโดยอัตโนมัติด้วย Google Play Protect ซึ่งมีการเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้ หรือบล็อกแอปที่มีพฤติกรรมที่ไม่เหมาะสม

ที่มา: thehackernews