SoumniBot モバイル マルウェア

SoumniBot と呼ばれる、これまで知られていなかった Android トロイの木馬が出現し、韓国のユーザーを積極的に狙っています。このトロイの木馬は、マニフェスト抽出および解析プロセス内の脆弱性を悪用します。このマルウェアの特徴は、主に Android マニフェスト ファイルの難読化によって検出と分析を回避する独自の戦略です。

各 Android アプリケーションには、ルート ディレクトリにある「AndroidManifest.xml」というマニフェスト XML ファイルが付属しています。このファイルには、アプリケーションのコンポーネント、権限、必要なハードウェアおよびソフトウェア機能の概要が記載されています。

脅威ハンターがアプリケーションのマニフェスト ファイルを調べてその機能を確認することから分析を開始することが一般的であることを踏まえ、マルウェアの悪意のある攻撃者は、このプロセスを大幅に複雑化するために 3 つの異なる手法を使用していることが確認されています。

SoumniBot モバイルマルウェアは検出を回避するために新しい手段を講じる

最初のアプローチでは、libziparchive ライブラリを使用して APK のマニフェスト ファイルを解凍する際に、圧縮方法の値を操作する必要があります。この方法では、0x0000 または 0x0008 以外の値を非圧縮と見なすライブラリの動作を利用し、開発者が 8 以外の任意の値を挿入して非圧縮データを書き込むことを可能にします。

適切な圧縮方法の検証を行うアンパッカーによって無効と判断されたにもかかわらず、Android APK パーサーはそのようなマニフェストを正しく解釈し、アプリケーションのインストールを許可します。注目すべきことに、この手法は 2023 年 4 月以降、さまざまな Android バンキング型トロイの木馬に関連する脅威アクターによって採用されています。

次に、SoumniBot はアーカイブされたマニフェスト ファイルのサイズを偽造し、実際のサイズを超える値を提示します。その結果、「非圧縮」ファイルが直接コピーされ、マニフェスト パーサーは余分な「オーバーレイ」データを無視します。より厳格なマニフェスト パーサーはこのようなファイルを解釈できませんが、Android パーサーはエラーが発生することなく欠陥のあるマニフェストを処理します。

最後の戦術は、マニフェスト ファイル内で長い XML 名前空間名を使用することです。これにより、分析ツールがそれらを処理するための十分なメモリの割り当てが複雑になります。ただし、マニフェスト パーサーは名前空間を無視するように設計されているため、エラーを発生させずにファイルを処理します。

SoumniBot は侵入された Android デバイスの機密データを狙う

SoumniBot は起動されると、事前に設定されたサーバー アドレスから構成データを取得し、収集したデータを送信し、MQTT メッセージング プロトコルを介してコマンドを受信するために使用されるサーバーを取得します。

安全でないサービスを起動するようにプログラムされており、サービスが終了した場合には 16 分ごとに再起動し、15 秒ごとに情報をアップロードしながら継続的な操作を保証します。このデータには、デバイスのメタデータ、連絡先リスト、SMS メッセージ、写真、ビデオ、インストールされているアプリケーションの一覧が含まれます。

さらに、このマルウェアは、連絡先の追加や削除、SMS メッセージの送信、サイレント モードの切り替え、Android のデバッグ モードの有効化などの機能を備えています。さらに、アプリケーション アイコンを隠すことができるため、デバイスからのアンインストールに対する耐性が強化されます。

SoumniBot の注目すべき特性は、外部ストレージ メディアをスキャンして、「/NPKI/yessign」につながるパスを含む .key ファイルと .der ファイルを検索する機能です。これは、韓国が政府 (GPKI)、銀行、オンライン証券取引所 (NPKI) 向けに提供しているデジタル署名証明書サービスに相当します。

これらのファイルは、韓国の銀行が顧客に発行したデジタル証明書であり、オンライン バンキング プラットフォームへのログインや銀行取引の検証に使用されます。この手法は、Android バンキング マルウェアでは比較的珍しいものです。