Android狙うバンキング型トロイの木馬「SoumniBot」発見、型破りな分析妨害
マイナビニュース / 2024年4月22日 7時48分
Kaspersky Labは4月17日(現地時間)、「Analysis of the SoumniBot Android banker|Securelist」において、Androidを標的とする新しいバンキング型トロイの木馬「SoumniBot」を発見したとして、注意を呼び掛けた。このマルウェアはマニフェスト難読化という型破りな分析妨害手法を使用するという。
○SoumniBotの分析妨害手法
Androidアプリケーションの配布に使用されるAPK(Android Package Kit)ファイルは特定のディレクトリーおよびファイル構造を持つZIPアーカイブとされる。APKファイルのルートディレクトリには「AndroidManifest.xml」というファイル名のマニフェストファイルが含まれており、このファイルにアプリの基本的な情報が保存されている。
Kaspersky Labによると、今回発見されたマルウェア「SoumniBot」はこのマニフェストファイルを難読化するという手法を用いてマルウェアの分析を妨害するという。具体的には次の3つの手法が確認されており、分析を妨害しながらアプリとして動作するとされる。
○手法1:無効な圧縮メソッド
AndroidにはZIPアーカイブのライブラリとして「libziparchive」が存在する。このライブラリはファイルの圧縮メソッドとして非圧縮(0x0000)およびzlibのdeflate圧縮(0x0008)の2つのみを許容しており、それ以外の値を指定するとエラーとなる。しかしながら、Androidのマニフェストパーサーの実装は異なっており、deflate圧縮以外の値をすべて非圧縮として扱う。
マルウェアはこの違いを悪用し、非圧縮およびdeflate圧縮以外の値を指定して非圧縮のマニフェストファイルをアーカイブする。このようにして作成されたAPKファイルのマニフェストファイルはマニフェストパーサーから非圧縮と認識されるため、問題なく展開およびインストールすることができる。しかしながら、それ以外のライブラリは破損したAPKファイルと認識するため、展開および分析することはできなくなる。
○手法2:無効なファイルサイズ
圧縮メソッドとして非圧縮を指定しつつ、実際のファイルよりも大きなファイルサイズを指定してマニフェストファイルをアーカイブする。ZIPでは非圧縮で保存されたファイルを指定のサイズでアーカイブからコピーするため、マニフェストファイルの末尾に他のファイル情報などを含む壊れたマニフェストファイルを展開することになる。
-
- 1
- 2
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年4月に最も活発だったマルウェアを発表。国内ランキングで初の首位となったAndroxgh0stによる攻撃が世界的に急増
PR TIMES / 2024年5月17日 16時45分
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意
マイナビニュース / 2024年5月2日 8時31分
-
新種のバックドア「MadMxShell」、Google広告を悪用する手口
マイナビニュース / 2024年4月29日 11時31分
-
Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意
マイナビニュース / 2024年4月27日 9時5分
ランキング
-
1Googleドライブ、カーソルを合わせるだけでビデオのプレビューが可能に
マイナビニュース / 2024年5月20日 18時40分
-
2モトローラの新ミドル機は控えめ価格なのに、FeliCa&防水&薄型軽量に美しいデザインと贅沢な1台
ASCII.jp / 2024年5月19日 12時0分
-
3富士フイルム新機種に重くのしかかる為替レート 「X-T50」の値段は「X-T30 II」の倍以上に
ITmedia NEWS / 2024年5月18日 7時20分
-
4Apple Watchを外出時にほぼ持ち出さなくなった理由
ITmedia Mobile / 2024年5月19日 10時5分
-
5「思わず笑った」 ハードオフに4万4000円で売られていた“まさかのフィギュア”に仰天 「玄関に置いときたい」
ねとらぼ / 2024年5月19日 12時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください