SoumniBot Banker IOCs

security IOC
Опубликовано

Создатели вредоносного ПО часто используют различные методы, чтобы усложнить обнаружение и анализ кода. Вредоносное ПО для Android также использует такие инструменты. Один из примеров – это банкер SoumniBot, который нацелен на корейских пользователей и использует обфускацию манифеста Android.

Манифест Android – это файл, содержащий информацию о приложении, такие как разрешения и компоненты. Аналитики начинают анализ ПО с изучения манифеста. Разработчики SoumniBot исследовали процедуру разбора манифеста и нашли несколько методов обфускации файла. Один из них – неправильное значение метода сжатия при разархивировании манифеста. Хотя это типичная техника, SoumniBot использует ошибку в реализации проверки значения метода сжатия и позволяет использовать любое значение, кроме 8.

Другой метод обфускации, использованный SoumniBot, связан с неправильным размером манифеста. Если манифест хранится без сжатия, а его размер указан неверно, возникает оверлей, который позволяет вредоносному ПО добавить дополнительные данные после полезной нагрузки. В то же время, более строгие парсеры не могут правильно прочитать такие файлы, но парсер Android обрабатывает их без ошибок.

Семейство SoumniBot также использует длинные строки в качестве имен пространств имен в манифесте. Это делает манифесты нечитаемыми для людей и выделяет больше памяти для их обработки программами. Однако, парсер манифеста в операционной системе полностью игнорирует пространства имен, поэтому манифесты обрабатываются без ошибок.

SoumniBot имеет функциональность, которая запрашивает конфигурацию у сервера. Вредоносная программа получает параметры, которые являются адресами серверов, необходимых для нормальной работы программы.

В целом, SoumniBot использует нестандартный подход к обфускации манифеста Android, используя ошибки в процедуре разархивирования и разбора манифеста. Эти методы позволяют вредоносному ПО скрыть свою настоящую функциональность от обнаружения и анализа.

Indicators of Compromise

URL

  • https://dbdb.addea.workers.dev
  • https://google.kt9.site

MD5

  • 00aa9900205771b8c9e7927153b77cf2
  • 0318b7b906e9a34427bf6bbcf64b6fc8
  • b456430b4ed0879271e6164a7c0e4f6e
  • fa8b1592c9cda268d8affb6bceb7a120

Похожие записи:

  1. Triada Trojan IOCs
  2. Roaming Mantis IOCs
  3. Fleckpe Trojan IOCs
  4. Zanubis Trojan IOCs
  5. Trojan-Spy.AndroidOS.CanesSpy IOCS
Android Kaspersky Lab SoumniBot
Добавить комментарий