19.04.2024
Güney Kore kullanıcılarını hedefleyen yeni bir Android trojanı olan SoumniBot ortaya çıktı. Bu tespit, Android uygulama manifest dosyalarının çıkartma ve ayrıştırma işlemlerindeki zayıflıkları sömürmesiyle ilgili endişe verici bir trendi gösteriyor. Bir uygulamanın davranışını anlamak için kritik olan bu manifest dosyaları, genellikle tehdit avcılarının ilk inceleme noktası. SoumniBot'un yaratıcıları, analiz sürecini önemli ölçüde karmaşıklaştıran manifest dosyasını gizlemek için üç farklı teknik kullanmıştır.
İlk yöntem, APK'nin manifest dosyasındaki Sıkıştırma yöntemi değerini manipüle etmeyi içerir ve Android APK ayrıştırıcısındaki bir boşluğu sömürür. Bu, manifestin düzensizliklerine rağmen kurulumunu sağlayarak geleneksel doğrulama kontrollerini atlamasına olanak tanır. Ayrıca, SoumniBot, arşivlenmiş manifest dosyasının boyutunu yanlış gösterir, böylece algılama çabalarını daha da karmaşık hale getirir. Yüksek bir boyut değeri sağlayarak, zararlı yazılımın ek verileri görmezden gelmesini sağlar ve etkili bir şekilde kötü niyetini maskeleyebilir.
Dahası, SoumniBot, manifest dosyasında uzun XML ad alanı adları kullanır ve bu da analiz araçlarının bellek tahsis yeteneklerini zorlar. Bununla birlikte, Android manifest ayrıştırıcısı ad alanı ayrıntılarını göz ardı eder, bu da zararlı yazılımın hatalar oluşturmadan çalışmasına izin verir. Kurulduktan sonra, SoumniBot belirlenmiş bir sunucu adresinden yapılandırma verilerini alır ve enfekte cihazda bir dizi kötü niyetli faaliyet başlatır.
Bu faaliyetler arasında, cihaz metaverisi, kişiler, SMS mesajları, fotoğraflar, videolar ve yüklenmiş uygulamaların bir listesi gibi çeşitli hassas bilgilerin toplanması yer alıyor. Özellikle, SoumniBot, Güney Kore bankalarıyla ilişkili dijital sertifika dosyalarını aramak için benzersiz bir yetenek sergiledi; bu özellik, Android bankacılık trojanları arasında yaygın olmayan bir özellik. Bu teknik, zararlı yazılımın sofistike doğasını ve kullanıcıların finansal güvenliği üzerindeki potansiyel etkisini vurgular.
Google, SoumniBot enfekte uygulamalarının Google Play Store'da bulunmadığını doğruladı, bu da Android kullanıcılarına bir miktar güvence oluşturdu. Ayrıca, Google Play Protect, bilinen bu zararlı yazılımın varyantlarına karşı otomatik koruma sunuyor, hatta dış kaynaklardan alındığında bile. Ancak, SoumniBot'un ortaya çıkması, gelişen siber tehditlerle mücadele etmenin devam eden zorluklarını ve siber güvenlik uygulamalarında sürekli dikkat ve yenilik gerektirdiğini gözler önüne seriyor.