Last Updated on 2024-09-18 05:12 by 門倉 朋宏
SoumniBotは、韓国のユーザーを標的にした新しいAndroidバンカーで、Androidマニフェストの難読化という非伝統的な手法を使用して検出と解析を回避しています。このマルウェアは、Androidマニフェストの抽出と解析手順におけるバグを利用し、無効な圧縮方法の値、無効なマニフェストのサイズ、長い名前空間名などのテクニックを使用しています。また、韓国のオンラインバンキングキーを盗む機能を持ち、これはAndroidバンカーでは珍しい特徴です。
SoumniBotは起動時にサーバーから2つのパラメーターを要求し、データの収集とコマンドの受信に使用するサーバーアドレスを取得します。被害者のデバイスからは、IPアドレス、国、連絡先リスト、SMSやMMSメッセージなどのデータが収集され、定期的にサーバーにアップロードされます。また、MQTTサーバーからのコマンドを受信し、攻撃者が被害者のデバイスに対してさまざまな操作を行うことが可能です。
SoumniBotの検出は、その高度な難読化技術により困難ですが、信頼性のあるセキュリティソリューションを使用することで、その検出とインストールの防止が可能です。Kasperskyのセキュリティソリューションは、SoumniBotを検出し、Trojan-Banker.AndroidOS.SoumniBotとして分類しています。
【ニュース解説】
SoumniBotは、韓国のユーザーを標的にした新型のAndroid向けバンキングマルウェアであり、特にAndroidマニフェストの難読化を利用して検出と解析を回避するという点で注目されます。Androidマニフェストとは、アプリケーションの構成要素やパーミッションなどを宣言するためのファイルで、オペレーティングシステムやセキュリティ研究者がアプリケーションの情報を把握するために重要な役割を果たします。SoumniBotは、このマニフェストファイルの解析を困難にすることで、検出を避ける技術を採用しています。
具体的には、無効な圧縮方法の値を設定したり、マニフェストのサイズを不正に大きくしたり、非常に長い名前空間を使用することで、マニフェストの解析を誤らせる手法を用いています。これらの技術は、Androidのマニフェスト解析プロセスに存在するバグを悪用するもので、セキュリティ研究者や自動化されたセキュリティツールがマルウェアを正確に識別し、分析することを困難にします。
SoumniBotの機能面では、被害者のデバイスから様々な情報を収集し、特定のサーバーに送信する能力を持っています。これには、IPアドレス、連絡先リスト、SMSやMMSメッセージなどが含まれます。さらに、韓国のオンラインバンキングサービスで使用されるデジタル証明書を盗むことができる点も、他のAndroidバンキングマルウェアとは異なる特徴です。これにより、攻撃者は被害者の銀行口座から資金を不正に引き出すことが可能になります。
このような高度な難読化技術と機能を持つSoumniBotに対抗するためには、信頼性の高いセキュリティソリューションの使用が推奨されます。Kasperskyなどのセキュリティソリューションは、SoumniBotを検出し、防御することができます。ユーザーは、常にアプリケーションのソースを慎重に選び、不明なソースからのアプリケーションのインストールを避けることが重要です。
SoumniBotの出現は、モバイルデバイスのセキュリティが依然として重要な課題であることを示しています。特に、金融情報を狙うマルウェアは、個人の財産に直接的な損害を与える可能性があるため、ユーザーはセキュリティ対策を怠らず、常に警戒を怠らないことが求められます。
