Android狙うバンキング型トロイの木馬「SoumniBot」発見、型破りな分析妨害
マイナビニュース / 2024年4月22日 7時48分
Kaspersky Labは4月17日(現地時間)、「Analysis of the SoumniBot Android banker|Securelist」において、Androidを標的とする新しいバンキング型トロイの木馬「SoumniBot」を発見したとして、注意を呼び掛けた。このマルウェアはマニフェスト難読化という型破りな分析妨害手法を使用するという。
○SoumniBotの分析妨害手法
Androidアプリケーションの配布に使用されるAPK(Android Package Kit)ファイルは特定のディレクトリーおよびファイル構造を持つZIPアーカイブとされる。APKファイルのルートディレクトリには「AndroidManifest.xml」というファイル名のマニフェストファイルが含まれており、このファイルにアプリの基本的な情報が保存されている。
Kaspersky Labによると、今回発見されたマルウェア「SoumniBot」はこのマニフェストファイルを難読化するという手法を用いてマルウェアの分析を妨害するという。具体的には次の3つの手法が確認されており、分析を妨害しながらアプリとして動作するとされる。
○手法1:無効な圧縮メソッド
AndroidにはZIPアーカイブのライブラリとして「libziparchive」が存在する。このライブラリはファイルの圧縮メソッドとして非圧縮(0x0000)およびzlibのdeflate圧縮(0x0008)の2つのみを許容しており、それ以外の値を指定するとエラーとなる。しかしながら、Androidのマニフェストパーサーの実装は異なっており、deflate圧縮以外の値をすべて非圧縮として扱う。
マルウェアはこの違いを悪用し、非圧縮およびdeflate圧縮以外の値を指定して非圧縮のマニフェストファイルをアーカイブする。このようにして作成されたAPKファイルのマニフェストファイルはマニフェストパーサーから非圧縮と認識されるため、問題なく展開およびインストールすることができる。しかしながら、それ以外のライブラリは破損したAPKファイルと認識するため、展開および分析することはできなくなる。
○手法2:無効なファイルサイズ
圧縮メソッドとして非圧縮を指定しつつ、実際のファイルよりも大きなファイルサイズを指定してマニフェストファイルをアーカイブする。ZIPでは非圧縮で保存されたファイルを指定のサイズでアーカイブからコピーするため、マニフェストファイルの末尾に他のファイル情報などを含む壊れたマニフェストファイルを展開することになる。
-
- 1
- 2
この記事に関連するニュース
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意
マイナビニュース / 2024年4月27日 9時5分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
カスペルスキー、「Kaspersky Threat Analysis」に類似サンプル検索を追加
週刊BCN+ / 2024年4月5日 13時35分
ランキング
-
1ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
-
2GWのスキマ時間に遊べるスイッチの注目タイトル5選!『8番出口』『いっき団結』など、サクッと楽しめコスパ良しのゲーム紹介
インサイド / 2024年5月3日 11時30分
-
3Shokzが新イヤホン2機種チラ見せ、BT付きの水泳用と新色含むカジュアル機
マイナビニュース / 2024年5月3日 13時0分
-
4「そっち使うの?!」「これは天才」 さびだらけの鉄くぎをぐつぐつ煮込むと……? DIYに役立つ“まさかの使い道”が200万再生
ねとらぼ / 2024年5月2日 12時15分
-
5「葬送のフリーレン」の勇者一行、ネモフィラ畑に現る 名場面にちなんだコスプレが「これを花畑を出す魔法か」と23万いいね
ねとらぼ / 2024年4月30日 21時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください