An einem anderen Tag ist ein weiterer Trojaner auf freiem Fuß und hat es auf Android-Benutzer abgesehen. Diesmal wurde der „SoumniBot“ gefunden und einige ziemlich clevere Tricks angewendet, um einer Entdeckung zu entgehen. Derzeit zielt es hauptsächlich auf Benutzer in Südkorea ab, indem es Schwachstellen im Manifest-Extraktions- und Parsing-Verfahren ausnutzt.
Wie Sie vielleicht wissen, verfügt jede Android-App über eine Manifest-XML-Datei, die sich im Stammverzeichnis befindet und die verschiedenen Komponenten der App sowie die erforderlichen Berechtigungen sowie Hardware- und Softwarefunktionen deklariert. Da dies so weithin bekannt ist, beginnen Bedrohungsjäger ihre Analyse in der Regel mit der Untersuchung der Manifestdatei der App, um deren Verhalten festzustellen.
Es ist wichtig zu beachten, dass diese Methode seit April 2023 von Bedrohungsakteuren im Zusammenhang mit mehreren Android-Banking-Trojanern übernommen wird. Darüber hinaus stellt SoumniBot auch die Größe der archivierten Manifestdatei falsch dar und liefert einen Wert, der über dem tatsächlichen Wert liegt, da die „unkomprimierte“ Datei direkt ist kopiert, wobei der Manifest-Parser den Rest der „Overlay“-Daten ignoriert.
Der Kaspersky-Forscher Dmitry Kalinin erklärte, dass sich diese Malware durch ihren unkonventionellen Ansatz zur Umgehung der Analyse und Erkennung auszeichnet. Kalinin sagte auch: „Obwohl jeder Entpacker, der die Validierung der Komprimierungsmethode korrekt implementiert, ein solches Manifest als ungültig betrachten würde, erkennt der Android APK-Parser es korrekt und ermöglicht die Installation der Anwendung.“
SoumniBot ist unsichtbar, sobald Ihr Gerät infiziert ist
Wie viele andere Trojaner, die Android-Geräte befallen, verbirgt SoumniBot sein Symbol nach der Installation, was die Entfernung erschwert. Es bleibt jedoch im Hintergrund aktiv und lädt Daten des Opfers hoch.
Kaspersky geht detaillierter auf diesen Android-Trojaner ein und stellt einige Indikatoren für eine Kompromittierung bereit, damit Sie sich und Ihr(e) Gerät(e) schützen können. Der Grund für Kaspersky, die von diesem Trojaner verwendeten Techniken detailliert zu beschreiben, besteht darin, dass Forscher auf der ganzen Welt über die Taktik Bescheid wissen und Lösungsvorschläge erarbeiten können, um zu verhindern, dass SoumniBot noch mehr Chaos anrichtet.
