SoumniBot est un malware sophistiqué qui traque principalement les données bancaires stockées sur les appareils Android.
SoumniBot est un malware spécifique à Android qui a récemment attiré l'attention des experts en cybersécurité de Kaspersky. Il est conçu pour exfiltrer les données sensibles des appareils, en se concentrant particulièrement sur les informations bancaires.
Même si ce malware cible essentiellement les clients des banques en ligne coréennes, les techniques d'anti-analyse et d'anti-détection sophistiquées qu'il utilise font de ce nouveau cheval de Troie bancaire une menace sérieuse pour l'ensemble des appareils Android. Il est également capable de voler d'autres données personnelles, telles que vos photos, vidéos ou prendre le contrôle de votre mobile.
SoumniBot dupe l'analyseur APK d'Android pour contourner les outils de sécurité
Le malware Android, SoumniBot, utilise des techniques sophistiquées pour échapper à la détection et à l'analyse. Les fichiers présents dans chaque application contiennent des informations cruciales sur l'application. SoumniBot manipule ces fichiers pour tromper les outils de sécurité.
Premièrement, SoumniBot utilise une valeur de compression invalide lors de la décompression du fichier manifeste. Cela s'écarte des valeurs standards attendues par la bibliothèque Android « libziparchive ». L'analyseur APK Android, en raison d'un bug, reconnaît par défaut les données comme non compressées, permettant à l'APK de contourner les contrôles de sécurité.
Deuxièmement, SoumniBot déclare de manière erronée la taille du fichier manifeste dans l’APK, en fournissant une valeur supérieure au chiffre réel. Le fichier, marqué comme non compressé, est copié directement à partir de l'archive, les données de « superposition » indésirables comblant la différence. Ces données supplémentaires, bien qu'ignorées par Android, jouent un rôle crucial dans la confusion des outils d'analyse de code.
Troisièmement, SoumniBot utilise des chaînes très longues pour les noms des espaces de noms XML dans le fichier manifeste. Cela rend très difficile leur vérification par les outils d'analyse automatisés, qui manquent souvent de suffisamment de mémoire pour les traiter.
Kaspersky a informé Google de l'incapacité de l'APK Analyzer, l'utilitaire d'analyse officiel d'Android, à gérer les fichiers en utilisant ces méthodes d'évasion et n'a, pour l'heure, obtenu aucune réponse ou mise à jour corrective.
SoumniBot fait des dégâts, mais il est détectable et évitable
Une fois installé sur un appareil, SoumniBot commence à collecter des informations. Il établit une connexion avec son serveur C&C (Command and Control) et commence à récupérer des informations telles que l'adresse IP, les données de géolocalisation, la liste des applications installées, le fournisseur de services mobiles, le numéro de téléphone, les listes de contacts, les comptes, les niveaux de volume des sonneries, etc.
SoumniBot peut également ajouter et supprimer des contacts. Il est capable d'exfiltrer les SMS et MMS des victimes, et peut même envoyer des messages texte. Bien que cette dernière fonctionnalité n'ait pas été utilisée à des fins complexes au moment de la recherche, il est pertinent de mentionner que les développeurs de SoumniBot pourraient la mettre à niveau pour qu'elle fonctionne comme un malware Toll Fraud.
Ce programme peut exfiltrer les photos et vidéos stockées sur des appareils compromis. Il peut basculer entre les modes silencieux et les modes de débogage.
Bien que ravageur, il est à la portée de tous les utilisateurs de détecter la présente de SoumniBot comme d'autres malwares sur un mobile tels que Gold Pickaxe. Si votre appareil fonctionne lentement, que vous constatez une modification de vos paramètres système sans votre autorisation ou encore l'apparition d'applications douteuses, il est fort probable que vous ayez téléchargé malgré vous Soumnibot. Idem si vos datas flambent et votre batterie se vide à vitesse grand V.
La meilleure solution restant la prévention, Clubic vous recommande sa sélection des meilleurs antivirus pour Android.
08 novembre 2024 à 11h35
Source : Bleeping Computer, Kaspersky