Stiekeme Android-malware ontwijkt detectie: is uw telefoon veilig? [Updated]

Update: Google heeft contact opgenomen met een opmerking over de SoumniBot.

Op basis van onze huidige detectie zijn er geen apps gevonden die deze malware bevatten op Google Play. Android-gebruikers zijn automatisch beschermd tegenEr zijn geen bekende versies van deze malware van Google Play Protect, die standaard is ingeschakeld op Android-apparaten met Google Play-services. Google Play Protect kan gebruikers waarschuwen of apps blokkeren waarvan bekend is dat ze kwaadaardig gedrag vertonen, zelfs als die apps afkomstig zijn van bronnen buiten Play.”

Op een andere dag is er weer een trojan vrij, gericht op Android-gebruikers. Deze keer werd de 'SoumniBot' gevonden en werden een aantal behoorlijk slimme trucs gebruikt om detectie te voorkomen. Momenteel richt het zich vooral op gebruikers in Zuid-Korea door gebruik te maken van zwakke punten in de manifeste extractie- en parseerprocedure.

Zoals je misschien wel weet, wordt elke Android-app geleverd met een manifest XML-bestand, dat zich in de hoofdmap bevindt en de verschillende componenten van de app declareert, evenals de machtigingen en hardware- en softwarefuncties die daarvoor nodig zijn. Omdat dit zo algemeen bekend is, beginnen dreigingsjagers hun analyse doorgaans door het manifestbestand van de app te inspecteren om het gedrag ervan te bepalen.

Het is belangrijk op te merken dat deze methode sinds april 2023 is overgenomen door bedreigingsactoren die verband houden met verschillende Android-banktrojans. Bovendien geeft SoumniBot ook een verkeerde voorstelling van de gearchiveerde manifestbestandsgrootte, door een waarde te geven die groter is dan het werkelijke cijfer, omdat het “niet-gecomprimeerde” bestand direct gekopieerd, waarbij de manifest-parser de rest van de “overlay”-gegevens negeert.

Kaspersky-onderzoeker Dmitry Kalinin verklaarde dat deze malware opvalt door zijn onconventionele aanpak om analyse en detectie te omzeilen. Kalinin heeft ook gezegd: “Hoewel elke uitpakker die de validatie van de compressiemethode correct implementeert, een dergelijk manifest als ongeldig zou beschouwen, herkent de Android APK-parser het correct en staat toe dat de applicatie wordt geïnstalleerd.”

SoumniBot zal onzichtbaar zijn zodra uw apparaat is geïnfecteerd

Net als veel andere trojans die Android-apparaten beïnvloeden, zal SoumniBot het pictogram na installatie verbergen, waardoor het moeilijker wordt om het te verwijderen. Maar het blijft wel actief op de achtergrond en uploadt gegevens van het slachtoffer.

Kaspersky gaat dieper in op deze Android-trojan en geeft enkele aanwijzingen dat er sprake is van een aanval, zodat u uzelf en uw apparaat(en) kunt beschermen. De reden voor Kaspersky om de technieken die door dit Trojaanse paard worden gebruikt in detail te beschrijven, is zodat onderzoekers over de hele wereld zich bewust zijn van de tactiek en oplossingen kunnen bedenken om te voorkomen dat SoumniBot nog meer schade aanricht.

Thijs Van der Does