Studiuesit e Kaspersky kanë zbuluar malware të ri për Android. E veçanta e SoumniBot është përdorimi i një teknike të turbullimit që shfrytëzon disa gabime në procedurën e nxjerrjes dhe analizës së manifestit të aplikacionit. Funksionet janë ato të një trojan bankar, kështu që qëllimi i kriminelëve kibernetikë është të mbledhin informacione në pajisje dhe të vjedhin nga njerëz të ndjeshëm, duke përfshirë kredencialet e hyrjes për llogaritë rrjedhëse.
Tre teknika mjegullimi
Çdo paketë APK është një arkiv ZIP me skedarin AndroidManifest.xml në dosjen rrënjësore që përmban informacione rreth përbërësve, lejeve dhe të dhënave të aplikacionit. SoumniBot përdor tre teknika për të anashkaluar masat e sigurisë. E para përdor një vlerë të pavlefshme kompresimi për nxjerrjen e manifestit nga arkivi, duke përdorur bibliotekën libziparchive. Për shkak të një gabimi, analizuesi Android pranon çdo vlerë tjetër përveç 8 dhe e lejon atë të shkruajë të dhëna të pakompresuara, d.m.th. të dhëna malware.
Kreu i AndroidManifest.xml përmban madhësinë e skedarit. Megjithatë, për shkak të një gabimi, tregohet një madhësi më e madhe se ajo aktuale. Kjo ju lejon të shtoni kodin e malware që nuk zbulohet nga Android. Më në fund, SoumniBot përdor një varg të gjatë emrash të hapësirës së emrave XML në skedarin AndroidManifest.xml. Analizuesi i Android injoron hapësirat e emrave, kështu që malware nuk zbulohet.
Kur fillon aplikacioni i infektuar, trojani bankar shkarkon disa parametra konfigurimi nga serveri në distancë. Më pas fillon të mbledhë informacione për pajisjen tuaj, duke përfshirë numrin tuaj të telefonit dhe operatorin celular. Më pas ajo zhbllokon adresën IP, listën e kontakteve, SMS, MMS, foto, video, listën e aplikacioneve të instaluara dhe certifikatat dixhitale të bankave.
Malware është e vështirë të hiqet sepse ikona e aplikacionit të infektuar është e fshehur. Shpërndarja pothuajse me siguri bëhet përmes dyqaneve të palëve të treta. Google në fakt ka komunikuar se asnjë aplikacion me SoumniBot nuk është gjetur në Play Store.
Discussion about this post