Last Updated on 2024-04-19 06:33 by 荒木 啓介
新たに発見されたAndroidトロイの木馬「SoumniBot」は、韓国のユーザーをターゲットにしており、マニフェスト抽出および解析手順の弱点を利用して検出を回避している。このマルウェアは、Androidマニフェストの難読化により分析と検出を避けるという非伝統的なアプローチで注目されている。SoumniBotは、APKのマニフェストファイルを解凍する際に無効な圧縮方法の値を使用すること、アーカイブされたマニフェストファイルのサイズを実際よりも大きく偽装すること、そしてマニフェストファイル内で長いXML名前空間名を使用することの3つの技術を利用して分析を抵抗している。
一度起動すると、SoumniBotはハードコードされたサーバーアドレスから設定情報を要求し、収集したデータを送信し、MQTTメッセージングプロトコルを使用してコマンドを受信するサーバーを取得する。このマルウェアは、デバイスのメタデータ、連絡先リスト、SMSメッセージ、写真、ビデオ、インストールされたアプリのリストなどの情報を15秒ごとにアップロードする悪意のあるサービスを起動する。また、連絡先の追加と削除、SMSメッセージの送信、サイレントモードの切り替え、Androidのデバッグモードの有効化、そしてアプリアイコンを隠してデバイスからのアンインストールを困難にする機能も持っている。
特に注目すべきは、SoumniBotが外部ストレージメディアで「/NPKI/yessign」へのパスを含む.keyおよび.derファイルを検索する能力であり、これは韓国の政府(GPKI)、銀行、オンライン証券取引所(NPKI)が提供するデジタル署名証明書サービスを指す。これらのファイルは、韓国の銀行が顧客に発行するデジタル証明書で、オンラインバンキングサービスへのサインインや銀行取引の確認に使用される。この技術はAndroidバンキングマルウェアにとってはかなり珍しい。マルウェアの開発者は、検出されずにより多くのデバイスに感染させることを目指しており、Androidマニフェストパーサーのコードにおける厳格でない検証により、SoumniBotの開発者は残念ながら成功している。
【ニュース解説】
新たに発見されたAndroidトロイの木馬「SoumniBot」は、特に韓国のユーザーを狙い、Androidアプリのマニフェストファイルの解析を困難にすることで検出を回避する巧妙な手法を用いています。マニフェストファイルは、アプリの構成要素や必要な権限、ハードウェアおよびソフトウェアの要件を宣言する重要なファイルであり、通常、セキュリティ研究者がアプリの挙動を分析する際の出発点となります。
SoumniBotは、マニフェストファイルの圧縮方法の値を無効にする、アーカイブされたマニフェストファイルのサイズを偽装する、長いXML名前空間名を使用するという3つの技術を駆使して、分析ツールの処理を妨げます。これらの手法により、AndroidのAPKパーサーはエラーを発生させずにアプリのインストールを許可しますが、より厳格なマニフェストパーサーではファイルを無効とみなす可能性があります。
一度デバイスにインストールされると、SoumniBotは定期的に悪意のあるサービスを起動し、デバイスの情報やユーザーの個人データを外部のサーバーに送信します。さらに、連絡先の操作、SMSメッセージの送信、デバイスのサイレントモードの切り替え、デバッグモードの有効化など、さまざまな悪意のある活動を行うことができます。また、アプリアイコンを隠すことで、ユーザーがアプリをアンインストールすることを困難にします。
特に興味深いのは、SoumniBotが韓国の銀行や政府機関、オンライン証券取引所で使用されるデジタル署名証明書を狙っている点です。これらの証明書は、オンラインバンキングサービスへのログインや取引の確認に使用されるため、これらを盗み出すことは金融詐欺やアイデンティティ盗難に直結するリスクがあります。
このニュースは、Androidデバイスのセキュリティに対する新たな脅威を示しています。マルウェア開発者が検出を避けるためにますます巧妙な手法を用いていることから、セキュリティソフトウェアの開発者やデバイスのユーザーは、常に警戒を怠らず、最新のセキュリティ対策を講じる必要があります。また、このようなマルウェアの出現は、Androidのセキュリティ機構における検証プロセスの強化を促すことになるでしょう。長期的には、より厳格なアプリの検証プロセスや、ユーザーのセキュリティ意識の向上が求められます。
from New Android Trojan 'SoumniBot' Evades Detection with Clever Tricks.
