Novo malware SoumniBot explora bugs do Android para evitar a deteção

Um novo malware bancário para Android – o SoumniBot – está a utilizar uma abordagem menos comum, fugindo à deteção através da exploração de vulnerabilidades no procedimento de extração e análise de manifestos do Android.

Os investigadores da Kaspersky, que descobriram e analisaram o SoumniBot, revelam detalhes técnicos sobre a ação do novo malware. O método utilizado permite ao SoumniBot evitar medidas de segurança padrão encontradas em dispositivos Android, executando operações de furto de informações.

Os ficheiros de manifesto – ‘AndroidManifest.xml’ – estão presentes no diretório raiz de cada aplicação, sendo que contêm informações sobre os componentes (serviços, recetores de transmissão, fornecedores de conteúdo), permissões e dados da aplicação.

Existem diversos truques de compactação do Zimperium que APK maliciosos podem utilizar para enganar as ferramentas de segurança. Os investigadores da Kaspersky descobriram que, em particular, o SoumniBot recorre a três métodos diferentes assentes na manipulação da compactação e do tamanho do ficheiro de manifesto, com vista a evitar a deteção.

Primeiramente, o novo malware utiliza um valor de compactação inválido ao descompactar o ficheiro de manifesto do APK, que diverge dos valores padrão (0 ou 8) esperados pela biblioteca ‘libziparchive’ do Android encarregada da função. Desta forma, em vez de tratar estes valores como inaceitáveis, uma vulnerabilidade permite ao analisador APK do Android reconhecer os dados como descompactados, o que possibilita ao APK ignorar as verificações de segurança e continuar a execução no dispositivo.

O segundo método consiste em informar incorretamente o tamanho do ficheiro de manifesto no APK, dizendo que se trata de um valor maior do que o real. Visto que o ficheiro foi reconhecido como descompactado na etapa anterior, este é copiado diretamente do ficheiro, com dados de “sobreposição” indesejados a preencher a diferença.

Segundo a Kaspersky, estes dados “extra” não prejudicam diretamente o dispositivo, sendo que o Android está configurado para os ignorar. No entanto, estes desempenham um papel essencial na atividade maliciosa do malware, permitindo confundir as ferramentas de análise de código.

Por fim, a terceira e última técnica utilizada remete para a utilização de strings muito longas para os nomes dos namespaces XML no ficheiro de manifesto, o que dificulta a verificação pela parte das ferramentas de análise automatizadas, que muitas vezes não têm memória suficiente para os processar.

A Kaspersky já informou a Google sobre a incapacidade do APK Analyzer – o utilitário de análise oficial do Android – de lidar com ficheiros que utilizam estes três métodos de evasão. 

Após a instalação, o SoumniBot solicita os seus parâmetros de configuração de um endereço de servidor codificado e envia informações sobre o perfil do dispositivo infetado. Depois, o malware desencadeia um serviço malicioso que reinicia a cada 16 minutos se for interrompido e transmite os dados furtados do alvo – como endereços IP, contatos, detalhes de contas, SMS, fotografias, etc. – a cada 15 segundos.

O SoumniBot visa principalmente utilizadores coreanos. Como muitas aplicações Android maliciosas, o malware oculta o seu ícone após a instalação para dificultar a sua remoção; todavia, permanece ativo em segundo plano, exfiltrando dados dos seus alvos.