Android狙うバンキング型トロイの木馬「SoumniBot」発見、型破りな分析妨害

画像提供：マイナビニュース

Kaspersky Labは4月17日(現地時間)、「Analysis of the SoumniBot Android banker｜Securelist」において、Androidを標的とする新しいバンキング型トロイの木馬「SoumniBot」を発見したとして、注意を呼び掛けた。このマルウェアはマニフェスト難読化という型破りな分析妨害手法を使用するという。

○SoumniBotの分析妨害手法

Androidアプリケーションの配布に使用されるAPK(Android Package Kit)ファイルは特定のディレクトリーおよびファイル構造を持つZIPアーカイブとされる。APKファイルのルートディレクトリには「AndroidManifest.xml」というファイル名のマニフェストファイルが含まれており、このファイルにアプリの基本的な情報が保存されている。

Kaspersky Labによると、今回発見されたマルウェア「SoumniBot」はこのマニフェストファイルを難読化するという手法を用いてマルウェアの分析を妨害するという。具体的には次の3つの手法が確認されており、分析を妨害しながらアプリとして動作するとされる。
○手法1：無効な圧縮メソッド

AndroidにはZIPアーカイブのライブラリとして「libziparchive」が存在する。このライブラリはファイルの圧縮メソッドとして非圧縮(0x0000)およびzlibのdeflate圧縮(0x0008)の2つのみを許容しており、それ以外の値を指定するとエラーとなる。しかしながら、Androidのマニフェストパーサーの実装は異なっており、deflate圧縮以外の値をすべて非圧縮として扱う。

マルウェアはこの違いを悪用し、非圧縮およびdeflate圧縮以外の値を指定して非圧縮のマニフェストファイルをアーカイブする。このようにして作成されたAPKファイルのマニフェストファイルはマニフェストパーサーから非圧縮と認識されるため、問題なく展開およびインストールすることができる。しかしながら、それ以外のライブラリは破損したAPKファイルと認識するため、展開および分析することはできなくなる。

○手法2：無効なファイルサイズ

圧縮メソッドとして非圧縮を指定しつつ、実際のファイルよりも大きなファイルサイズを指定してマニフェストファイルをアーカイブする。ZIPでは非圧縮で保存されたファイルを指定のサイズでアーカイブからコピーするため、マニフェストファイルの末尾に他のファイル情報などを含む壊れたマニフェストファイルを展開することになる。