El nuevo malware SoumniBot aprovecha los errores de manifiesto de Android para evitar la detección.
Los investigadores de seguridad de Kaspersky han notado que se está propagando un nuevo malware bancario, y es particularmente inteligente.
También es poco común porque su único objetivo es robar las claves bancarias en línea de los usuarios coreanos.
El malware, que Kaspersky ha denominado SoumniBot, fue descubierto recientemente, aunque no se dio un plazo específico. Kaspersky no entra en detalles sobre cómo se propaga el malware.
Pero es la forma en que el malware se disfraza lo que llamó la atención de los investigadores de Kaspersky.
«Los creadores de malware a gran escala suelen utilizar varias herramientas que dificultan la detección y el análisis de código, y el malware de Android no es una excepción», dijo Dmitry Kalinin, investigador de Kaspersky, en una publicación de blog. “A modo de ejemplo, los secuestradores como Badpack y Hqwar, que están diseñados para enviar subrepticiamente troyanos bancarios o software espía a teléfonos inteligentes, son muy populares entre los actores maliciosos que atacan dispositivos móviles.
«Sin embargo, recientemente descubrimos un nuevo banquero, SoumniBot, que se dirige a los usuarios coreanos y presenta un enfoque poco convencional para evadir el análisis y la detección, a saber, la ofuscación del manifiesto de Android».
El manifiesto de Android contiene metadatos sobre aplicaciones de Android, incluidos los puntos de entrada de las aplicaciones. SoumniBot aprovecha esta funcionalidad de tres maneras: utilizando un valor de método de compresión no válido, un tamaño de manifiesto no válido y nombres de espacios de nombres largos.
El primer método es relativamente común para muchos tipos de malware e implica el hecho de que el kit de aplicaciones de Android utiliza una función de desarchivado inusual. En lugar de reconocer dos estados: DEFLADO (0x0008), que está comprimido, o ALMACENADO (0x0000), que no está comprimido, el APK de Android solo reconoce DEFLADO. Cualquier otro valor se considera comprimido.
«Esto permite a los desarrolladores de aplicaciones poner cualquier valor excepto 8 en el método de compresión y escribir datos sin comprimir», dijo Kaspersky. «Aunque cualquier descompresor que implemente correctamente la validación del método de compresión consideraría inválida una declaración como esta, el analizador APK de Android la reconoce correctamente y permite que se instale la aplicación».
El segundo enfoque, tamaño de manifiesto no válido, se basa en otra característica del manifiesto de Android: lo que hace cuando el tamaño de una aplicación comprimida no coincide con su entrada de manifiesto. Cualquier información fuera de ese valor crea lo que se llama una superposición. Si bien los analistas más estrictos no podrían leer un archivo de este tipo, la declaración de Android simplemente ignora la discrepancia.
«El malware se aprovecha de esto: el tamaño del manifiesto archivado mencionado en él excede su tamaño real, lo que resulta en una superposición, con parte del contenido del archivo agregado al manifiesto descomprimido», dijo Kaspersky.
Finalmente, SoumniBot aprovecha los nombres de espacios de nombres largos: archivos XML que contienen una cadena de caracteres tan larga que requieren una gran cantidad de memoria incluso para leerlos. Pero como el analizador de Android ignora por completo este espacio de nombres, maneja dicha declaración sin ningún error.
Una vez instalado, el malware oculta el código de su aplicación, lo que hace más difícil eliminar la aplicación incluso si se detecta, y comienza a cargar datos en la infraestructura del servidor del malware desde el dispositivo infectado, haciéndolo cada quince segundos. Si la aplicación se cierra de alguna manera, intenta reiniciarse cada 16 segundos.
El malware puede recopilar direcciones IP, por lo tanto, el país del dispositivo, listas de contactos, mensajes telefónicos y un identificador único de la biblioteca Trustdevice-Android de Android. También puede recibir mensajes de la infraestructura de comando y control, lo que permite ejecutar varios comandos de forma remota, incluida la operación en modo silencioso y las funciones mencionadas anteriormente.
El comando 0, según Kaspersky, merece una mención especial.
«Busca, entre otras cosas, en medios de almacenamiento externos archivos .key y .der que contengan rutas a /NPKI/yessign», dijo Kaspersky.
“Si la aplicación encuentra archivos como este, copia el directorio en el que se encuentran en un archivo ZIP y lo envía al servidor de comando y control. Estos archivos son certificados digitales que los bancos coreanos emiten a sus clientes y se utilizan para iniciar sesión en línea. realizar operaciones bancarias o confirmar transacciones bancarias”.
Con estos detalles, los actores de amenazas detrás de SoumniBot pueden vaciar cuentas bancarias por completo.
La combinación de un objetivo tan específico y sus métodos de ofuscación convierte a SoumniBot en una bestia rara, según Kaspersky; Sin embargo, la empresa de seguridad no atribuyó su uso a ningún actor de amenazas específico.
David Hollingsworth
David Hollingsworth ha escrito sobre tecnología durante más de 20 años y ha trabajado en una variedad de títulos impresos y en línea durante su carrera. Le gusta ocuparse de la ciberseguridad, especialmente cuando le permite hablar de Lego.
«Estudiante amistoso. Jugador certificado. Evangelista de las redes sociales. Fanático de Internet. Se cae mucho. Futuro ídolo adolescente».