Se ha detectado un nuevo troyano llamado SoumniBot que apunta a dispositivos Android en Corea del Sur. El malware utiliza debilidades en el procedimiento de extracción y análisis del manifiesto para evitar la detección. Según Dmitry Kalinin, investigador de Kaspersky, el troyano utiliza un enfoque no convencional de ofuscación del manifiesto de Android para dificultar el análisis y la detección. SoumniBot utiliza tres técnicas diferentes para evitar ser detectado, como el uso de un valor de método de compresión inválido, inflar el tamaño del archivo del manifiesto archivado y utilizar nombres de espacio XML largos.
Una vez activo en el dispositivo, SoumniBot solicita su información de configuración a una dirección de servidor codificada para recopilar y enviar los datos recopilados y recibir comandos. El malware es capaz de lanzar un servicio malicioso que se reinicia cada 16 minutos si se termina y carga la información cada 15 segundos. SoumniBot recopila información que incluye metadatos del dispositivo, listas de contactos, mensajes SMS, fotos, videos y una lista de aplicaciones instaladas.
Además, el troyano puede añadir y eliminar contactos, enviar mensajes SMS, cambiar al modo silencioso y activar el modo de depuración de Android. SoumniBot también oculta el icono de la aplicación para dificultar su desinstalación del dispositivo. Una característica notable de SoumniBot es su capacidad para buscar archivos .key y .der en el almacenamiento externo que contengan rutas a «/NPKI/yessign«, que se refiere al servicio de certificado de firma digital ofrecido por Corea del Sur.
Los investigadores concluyen que los desarrolladores de malware buscan nuevas formas de evitar ser detectados y maximizar el número de dispositivos infectados. Los creadores de SoumniBot han tenido éxito debido a las validaciones insuficientes en el código del analizador de manifiestos de Android. Esta técnica es bastante inusual para el malware bancario de Android.
Vía The Hacker News
