SoumniBot Android malware
A Kaspersky azonosított egy Android kártevőt, a SoumniBotot, amely koreai felhasználókat céloz meg, és az elemzés és a felderítés elkerülésének szokatlan megközelítése, nevezetesen az Android manifesztumának elhomályosítása miatt figyelemre méltó.
A SoumniBot szinte minden adathoz hozzáfér, és mivel parancsokon át vezérlik, egyebet is végre tud hajtani azon kívül, hogy továbbítja az adatokat. Így például törölhet vagy hozzáadhat névjegyeket, SMS-üzeneteket küldhet, valamint ki is kapcsolhatja a vírusirtót. A SoumniBot megszokott módon telepítés után elrejti az ikonját, hogy megnehezítse az eltávolítást, azonban a háttérben aktív marad, és gyűjti az adatokat. A rosszindulatú programok készítői arra törekednek, hogy minél több eszközt fertőzzenek meg észrevétlenül. Ez arra ösztönzi őket, hogy új módszereket keressenek a felismerés megnehezítésére. A SoumniBot fejlesztői sajnos sikerrel jártak az Android manifeszt-parser kódjának nem elég szigorú érvényesítéseinek köszönhetően.
Részletesen bemutattuk a trójai által alkalmazott technikákat, hogy a kutatók világszerte tisztában legyenek azzal a taktikával, amelyet más típusú kártevők a jövőben kölcsönözhetnek. A szokatlan obfuszkálás mellett a SoumniBot feltűnő a koreai online banki kulcsok ellopásával, amit ritkán figyelhetünk meg az Androidos bankároknál. Ez a funkció lehetővé teszi a rosszindulatú szereplők számára, hogy kiürítsék a tudatlan áldozatok pénztárcáját, és megkerüljék a bankok által használt hitelesítési módszereket. Annak érdekében, hogy ne váljon ilyen kártevő áldozatává, javasoljuk, hogy megbízható biztonsági megoldást használjon okostelefonján, amely minden trükkje ellenére felismeri a trójai programot, és megakadályozza annak telepítését.
A Kaspersky megosztotta az azonosításhoz szükséges mutatókat.