Recentemente, um novo malware bancário, chamado SoumniBot, tem chamado a atenção por sua habilidade em mirar especificamente usuários na Coreia, utilizando métodos sofisticados para evitar detecção e análise. Este trojan para Android exemplifica uma tendência preocupante na segurança de dispositivos móveis, onde os criminosos digitais empregam técnicas cada vez mais avançadas para infiltrar e comprometer sistemas.
O SoumniBot se destaca por manipular os métodos de ofuscação do manifesto do Android. Os arquivos APK, que são na verdade arquivos ZIP, contêm um arquivo AndroidManifest.xml
importante para o sistema operacional entender as permissões e componentes do aplicativo.
Normalmente, este é o primeiro local que os analistas verificam para entender a funcionalidade de um aplicativo suspeito. No entanto, os desenvolvedores do SoumniBot descobriram brechas na rotina de análise e extração de manifestos que permitem esconder suas verdadeiras intenções.
Técnica de compactação inválida
Uma das técnicas usadas envolve a inserção de um valor inválido no método de compactação. Enquanto o valor correto deveria ser 0x0008 (DEFLATED), o SoumniBot usa um valor diferente que, surpreendentemente, é aceito pelo analisador APK do Android, permitindo a instalação do aplicativo mesmo com manifestos tecnicamente inválidos. É importante frisar que o manifesto é um ficheiro avançado que descreve a funcionalidade e os requisitos de uma aplicação para Android.
Tamanho de manifesto inflado
Outra tática observada é declarar um tamanho incorreto para o manifesto no arquivo ZIP. Isso permite que dados extras sejam adicionados ao manifesto descompactado, o que pode confundir ferramentas de análise mais rigorosas, mas não afeta a capacidade do sistema operacional de processar o manifesto.
O malware também explora namespaces com strings extremamente longas, tornando os manifestos difíceis de serem lidos tanto por humanos quanto por programas, que podem falhar ao tentar alocar memória suficiente para processá-los.
Funcionalidade Maliciosa do SoumniBot
Após a instalação, o SoumniBot solicita configurações de dois servidores específicos e inicia um serviço malicioso que pode executar várias ações sem o conhecimento do usuário:
- Coleta de dados: O malware envia dados como endereço IP, listas de contatos e mensagens de texto do dispositivo da vítima para um servidor remoto.
- Comandos remotos: Pode receber e executar comandos através de mensagens MQTT, incluindo o envio de fotos e vídeos, manipulação de contatos e dados de certificados bancários.
Impacto e Precauções
O SoumniBot é notável não apenas por suas técnicas de ofuscação, mas também por sua capacidade de roubar chaves bancárias digitais coreanas, uma tática pouco comum em malwares bancários para Android. Isso representa uma ameaça significativa, pois permite aos criminosos acessar contas bancárias e realizar transações sem detecção.
A descoberta do SoumniBot serve como um lembrete crítico da necessidade de manter soluções de segurança atualizadas em dispositivos móveis. É recomendável que os usuários instalem um software antivírus confiável e se mantenham vigilantes contra aplicações de fontes não verificadas, especialmente aquelas que solicitam permissões suspeitas ou desnecessárias.
Esta análise do SoumniBot ilustra como os desenvolvedores de malware continuam a inovar em suas técnicas para evitar detecção e análise, colocando tanto indivíduos quanto organizações em risco constante de ataques cibernéticos. Portanto, a vigilância e a proatividade na aplicação de medidas de segurança são essenciais para proteger informações valiosas e infraestruturas críticas.