BISNISASIA.CO.ID, KOREA – Peneliti Kaspersky mengungkap bankir Trojan Android baru yang menargetkan pengguna Korea.
Dijuluki SoumniBot, malware ini menggunakan teknik kebingungan yang tidak konvensional untuk melewati deteksi dan mencuri berbagai data korban, termasuk kredensial perbankan.
Secara tradisional, pembuat malware menggunakan berbagai alat untuk menghalangi analisis dan deteksi kode.
SoumniBot mengambil pendekatan unik dengan mengeksploitasi bug dalam proses ekstraksi dan parsing manifes Android.
Manifes Android, sebuah file penting yang disertakan dalam setiap paket aplikasi Android (APK), berisi informasi penting tentang komponen aplikasi, izin, dan data lainnya.
SoumniBot memanfaatkan tiga teknik kebingungan utama dalam manifes untuk menghindari deteksi:
- Nilai metode kompresi tidak valid: SoumniBot memanipulasi bidang dalam header entri ZIP manifes untuk memanfaatkan rutin validasi metode kompresi khusus manifes, sehingga memungkinkan malware menyematkan kode yang dikaburkan.
- Ukuran manifes tidak valid: Karena parser manifes membuang overlay, hal ini memungkinkan penyerang memasukkan ukuran entri manifes yang salah untuk menghambat analisis.
- Nama Namespace yang Panjang: SoumniBot menggabungkan string yang terlalu panjang dalam definisi namespace XML manifes, sehingga membebani beberapa alat penguraian dan menjadikan manifes tidak dapat dibaca.
Setelah menginfeksi perangkat, SoumniBot diam-diam beroperasi di latar belakang, mengumpulkan serangkaian data korban yang komprehensif termasuk daftar kontak, pesan SMS dan MMS, Foto dan video, Alamat IP dan lokasi dan Sertifikat digital untuk perbankan online.
Malware mengirimkan informasi yang dicuri ke server jarak jauh yang dikendalikan oleh penyerang. SoumniBot menargetkan sertifikat digital yang digunakan oleh bank-bank Korea, memungkinkan penyerang melewati metode otentikasi dan berpotensi mencuri dana dari korban yang tidak menaruh curiga.
“Seperti biasa, pembuat malware berusaha menginfeksi sebanyak mungkin perangkat sambil tetap bersembunyi. Upaya tanpa henti ini mendorong mereka untuk mengembangkan teknik penghindaran deteksi yang inovatif.
SoumniBot mencontohkan hal ini dengan sempurna.
Untuk melewati langkah-langkah keamanan potensial, pelaku ancaman mengeksploitasi kelemahan dalam pemrosesan manifes Android.
Kami telah merinci teknik-teknik ini untuk meningkatkan kesadaran siber di kalangan peneliti keamanan, karena teknik ini dapat digunakan oleh keluarga malware di masa depan.
SoumniBot sangat mengkhawatirkan karena menargetkan sertifikat digital Korea untuk mobile banking, hal yang jarang terjadi pada malware mobile,” kata Dmitry Kalinin, peneliti Kaspersky.
