SoumniBot bankarski trojanac
SoumniBot je nova varijanta Android bankarskog trojanca koji je uzburkao sajber scenu. Ovaj zlonamjerni softver koristi sofisticirane tehnike prikrivanja da bi izbjegao otkrivanje i analizu, što mu omogućava da tajno radi na kompromitovanim uređajima.
SOUMNIBOT
SoumniBot je prikriveni zlonamjerni softver koji koristi razne taktike zamagljivanja da bi zaobišao bezbjednosne mjere i ostao neotkriven na kompromitovanim uređajima. Njegov primarni cilj je krađa osjetljivih informacija, uključujući akreditive za prijavu na finansijske usluge i druge vrijedne lične podatke. Kako bi izbjegao detekciju, SoumniBot zlonamjerni softver koristi ranjivosti u načinu kako Android aplikacije tumače datoteku manifesta za Android. Zlonamjerni softver manipuliše ovom datotekom kroz različite tehnike, što otkrivanje i analizu čini izazovnijom za sigurnosna riješenja i sigurnosne istraživače.
Manipulacija kompresijom
Prva tehnika koju SoumniBot koristi za izbjegavanje uključuje nevažeću vrijednost metode kompresije unutar unosa AndroidManifest.xml. Zlonamjerni softver prevari analizator da prepozna podatke kao nekomprimovane, omogućavajući mu da zaobiđe detekciju koja se oslanja na provjeru određenih kompresovanih formata datoteka. Ova taktika je efikasna, jer se mnoga bezbjednosna rješenja oslanjaju na identifikaciju poznatih tipova kompresovanih datoteka povezanih sa zlonamjernim softverom i možda neće provjeriti da li postoje nevažeće vrijednosti metoda kompresije.
Nevažeća veličina manifesta
Druga tehnika koju koristi SoumniBot uključuje manipulisanje deklaracijom veličine AndroidManifest.xml unosa, što dovodi do preklapanja unutar raspakovanog manifesta. Ovo može zbuniti alate za analizu koji se oslanjaju na provjeru veličine datoteke manifesta da bi otkrili anomalije ili nedosljednosti. Promjenom informacija o veličini, SoumniBot može da sakrije dodatne zlonamjerne komponente koje mogu biti uključene u APK datoteku, ali nisu vidljive kroz standardne metode analize.
Dugi nizovi prostora unutar imena
Treća tehnika koju koristi zlonamjerni softver SoumniBot da prikrije svoje prisustvo i izbjegne analizu je korištenje pretjerano dugačkih stringova prostora imena u datoteci AndroidManifest.xml. Na ovaj način zlonamjerni softver čini manifest nečitljivim i za ljude i za programe bez izazivanja grešaka u analizatoru operativnog sistema Android. Ovo omogućava zlonamjernom softveru da radi prikriveno, zaobilazeći strože raščlanjivanje manifesta koje možda neće moći da rukuju tako velikim imenskim prostorima zbog ograničenja alokacije memorije.
FUNKCIONALNOST
SoumniBot zlonamjerni Android bankarski trojanac je jedinstven po svom pristupu, jer nastoji da ukrade digitalne certifikate koje izdaju korejske banke za usluge internet bankarstva ili potvrđivanje transakcija. Funkcionalnost SoumniBot zlonamjernog softvera su opisane u nastavku.
SoumniBot inficira Android uređaje na različite načine, kao što su zlonamjerne poruke elektronske pošte sa prilozima koji sadrže zlonamjerni softver ili preuzimanje sa kompromitovanih internet lokacija. Nakon izvršenja, SoumniBot zahteva konfiguracione parametre od tvrdo kôdiranog servera, omogućavajući mu da efikasno funkcioniše u svojim zlonamjernim aktivnostima. Zatim pokreće zlonamjernu uslugu, koju podešava da se ponovo pokrene svakih 16 minuta ako bi iz bilo kog razloga bila zaustavljena i sakriva njenu ikonu da spriječi uklanjanje.
Kada se nađe na uređaju, SoumniBot koristi sofisticirane tehnike zamagljivanja da sakrije svoje prisustvo i izbjegne detekciju od strane antivirusnog softvera. Nakon toga skenira zaraženi Android uređaj u potrazi za određenim datotekama u vezi sa digitalnim certifikatima koje su izdale korejske banke i kopira direktorijume u kojima se ove datoteke nalaze u ZIP arhivu. Ova tehnika je neuobičajena kod zlonamjernog softvera za Android bankarstvo i čini SoumniBot težim za otkrivanje.
Kada prikupi potrebne datoteke, SoumniBot šalje ZIP arhivu svom serveru za komandu i kontrolu (C&C) na dalju obradu svakih 15 sekundi. Komunikacija između zlonamjernog softvera i C&C servera je šifrovana kako bi se spriječilo otkrivanje pomoću alata za analizu mrežnog saobraćaja. Digitalni certifikati sadržani u arhivi se zatim izdvajaju na C&C serveru, a njihovi privatni ključevi se koriste za potpisivanje lažnih transakcija ili dobijanje neovlaštenog pristupa uslugama internet bankarstva. Ukradeni podaci se šalju nazad zlonamjernom softveru na zaraženom uređaju za dalju upotrebu.
SoumniBot takođe uključuje dodatnu funkcionalnost koja mu omogućava da obavlja druge zlonamjerne aktivnosti, kao što je krađa SMS poruka i liste kontakata ili instaliranje dodatnog zlonamjernog softvera na Android uređaj. Ovo čini SoumniBot raznovrsnom prijetnjom sposobnom da nanese značajnu štetu svojim žrtvama.
ZAKLJUČAK
SoumniBot je sofisticirani zlonamjerni Android bankarski trojanac koji koristi razne taktike izbjegavanja kako bi zaobišao bezbjednosne mjere i izvrši operacije krađe informacija, posebno ciljajući certifikate koje izdaju korejske banke za usluge internet bankarstva ili potvrđivanje transakcija. Njegova sposobnost da traži certifikate čini ga posebno opasnim, jer su ovi certifikati vrijedne mete za napadače koji traže neovlašteni pristup finansijskim računima.
Za razliku od tradicionalnog bankarskog zlonamjernog softvera, SoumniBot koristi nekonvencionalnu metodu zamagljivanja koja iskorištava ranjivosti u procesu izdvajanja i analize Android datoteke manifesta. Ove taktike izbjegavanja su posebno efikasne protiv bezbjednih rješenja koja se oslanjaju na statičku analizu Android manifesta za otkrivanje zlonamjernog softvera. One takođe otežavaju istraživačima i analitičarima da urade obrnuti inženjering zlonamjernog softvera i razumiju njegove prave mogućnosti. Važno je napomenuti da ove tehnike ne čine sve metode detekcije beskorisnim, jer dinamička analiza ili analiza ponašanja i dalje mogu biti efikasne u identifikaciji SoumniBot zlonamjernog softvera i drugih sličnih prijetnji.
ZAŠTITA
Kako bi korisnici zaštitili svoje Android uređaje od zlonamjernog softvera SoumniBot, neophodno je da slijede najbolje prakse i usvoje bezbjednosne mjere. Evo nekoliko preporuka koje korisnici mogu primijeniti:
- Osigurati da su Android operativni sistem, aplikacije i bezbjednosni softver ažurni. Redovna ažuriranja pomažu da se zakrpe ranjivosti i ujedaj zaštiti od poznatih ranjivosti,
- Preuzimati aplikacije iz pouzdanih izvora kao što je Google Play prodavnica. Izbjegavati bočno učitavanje aplikacija iz nepoznatih ili neprovjerenih izvora, jer mogu da sadrže zlonamjerni softver,
- Prije instalacije aplikacije, pregledati dozvole koje traži i dodjeljivati samo one koje su neophodne za funkcionalnost aplikacije. Zlonamjerne aplikacije često zahtijevaju prevelike dozvole za obavljanje svojih zlonamjernih aktivnosti,
- Koristite renomiranu antivirusnu ili mobilnu bezbjednosnu aplikaciju za redovno skeniranje Android uređaja u potrazi za zlonamjernim softverom. Ovo će pomoći da se otkriju i uklone sve prijetnje prije nego što prouzrokuju štetu,
- Biti oprezan sa linkovima u elektronskoj pošti, tekstualnim porukama ili na platformama društvenih medija, jer oni mogu dovesti do phishing internet lokacija dizajniranih da ukradu akreditive,
- Koristiti autentifikaciju u dva koraka gdje je to moguće kao dodatni nivo bezbjednosti,
- Koristiti jake i jedinstvene lozinke za sve korisničke naloge. Razmislisliti o korišćenju menadžera lozinki za generisanje i skladištenje složenih lozinki,
- Ako zlonamjerni softver i dalje postoji na uređaju nakon pokušaja njegovog uklanjanja ili ako se ne može identifikovati njegov izvor, treba razmisliti o vraćanju uređaja na fabrička podešavanja. Ovo će izbrisati sve podatke na uređaju, pa je prethodno potrebno napraviti rezervnu kopiju važnih podataka,
- Potrebno je imati na umu SoumniBot mogućnost daljinskog pristupa, što može da omogući zlonamjernim akterima da izvršavaju komande, instaliraju dodatni zlonamjerni softver ili vrše dalje zlonamjerne aktivnosti. Ako je uređaj kompromitovan na ovaj način, korisnici se mogu obratiti svom mobilnom operateru i proizvođačima antivirusnih programa za pomoć,
- Biti informisan o najnovijim pratnjama i bezbjednosnim trendovima čitajući renomirane izvore vesti o sajber bezbjednosti i prateći najbolje prakse da biste se zaštitili od internet prijetnji,
- Ako korisnik sumnja da je uređaj inficiran SoumniBot zlonamjernim softverom ili bilo kojim drugim zlonamjernim softverom, prijaviti to svom mobilnom operateru, proizvođačima antivirusnih programa i odgovarajućim agencijama za sprovođenje zakona. Ovo će pomoći da se preduzmu mjere protiv zlonamjerne prijetnje i spriječiće druge da postanu žrtve.