Un nuevo software malicioso dirigido a dispositivos Android, conocido como «SoumniBot«, emplea una técnica de ofuscación poco común al explotar fallos en el proceso de extracción y análisis de manifiestos de Android.

Este enfoque permite a al malware eludir las medidas de seguridad convencionales en los teléfonos Android y llevar a cabo actividades de robo de datos.

El malware bancario «SoumniBot«, Manipula el analizador sintáctico de Android para eludir las medidas de seguridad estándar. Los archivos de manifiesto (AndroidManifest.xml) contienen información vital sobre las aplicaciones, como sus componentes y permisos.

Para evitar su detección, emplea tres técnicas diferentes.

  • Modifica el valor de compresión al desempaquetar el archivo de manifiesto del APK, confundiendo al analizador.
  • Informa incorrectamente sobre el tamaño del archivo de manifiesto, llenando el exceso con datos «superpuestos«.
  • Utiliza espacios de nombres XML extremadamente largos, dificultando la verificación automática por parte de las herramientas de análisis.

Kaspersky ha notificado a Google sobre la incapacidad del APK Analyzer para detectar estos métodos de evasión.

La amenaza comienza con la solicitud de parámetros de configuración, como una dirección de servidor codificada. Luego, recopila y envía información del dispositivo infectado, como número y operador; establece un servicio malicioso que se reinicia cada 16 minutos si el mismo se detiene, transmitiendo datos robados cada 15 segundos.

Los datos extraídos incluyen direcciones IP, listas de contactos, detalles de cuentas, mensajes SMS, fotos, videos y certificados digitales de banca en línea. Estos se envían a través de comandos recibidos por el malware desde un servidor MQTT, que también permite funciones como eliminar o agregar contactos, enviar mensajes SMS, ajustar el volumen del tono de llamada, activar o desactivar el modo silencioso y el modo de depuración en el dispositivo.

La forma en que «SoumniBot» infecta los dispositivos no está clara, pero podría ser mediante distribución a través de tiendas de aplicaciones de terceros, sitios web inseguros o actualizaciones con código malicioso de aplicaciones legítimas en repositorios confiables.

Fuente:

SoumniBot malware exploits Android bugs to evade detection

Analysis of the SoumniBot Android banker