Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Пользователей предупредили о распространении нового опасного вредоносного по для Android SoumniBot

60
1 мин
«Лаборатория Касперского» предупредила пользователей из разных стран мира о распространении нового опасного банковского вредоносного ПО для Android под названием SoumniBot. По словам экспертов, этот вредонос использует малораспространённый подход к обфускации, эксплуатируя слабые места в процессах извлечения и анализа манифеста операционной системы, сообщает Bleeping Computer. По словам специалистов «Лаборатории Касперского», этот метод позволяет SoumniBot обходить стандартные меры безопасности, применяемые в телефонах Android, и выполнять операции по краже информации. Вредоносная программа была обнаружена и проанализирована исследователями «Лаборатории Касперского», представившими техническую информацию о методах, которые вредоносная программа использует для использования процедур Android в анализе и извлечении манифестов APK. Файлы манифеста («AndroidManifest.xml») присутствуют в корневом каталоге каждого приложения и содержат сведения о компонентах (службах, приёмниках широковещател
Изображение: Rami Al-zayat (unsplash)
Изображение: Rami Al-zayat (unsplash)

«Лаборатория Касперского» предупредила пользователей из разных стран мира о распространении нового опасного банковского вредоносного ПО для Android под названием SoumniBot. По словам экспертов, этот вредонос использует малораспространённый подход к обфускации, эксплуатируя слабые места в процессах извлечения и анализа манифеста операционной системы, сообщает Bleeping Computer.

По словам специалистов «Лаборатории Касперского», этот метод позволяет SoumniBot обходить стандартные меры безопасности, применяемые в телефонах Android, и выполнять операции по краже информации.

Вредоносная программа была обнаружена и проанализирована исследователями «Лаборатории Касперского», представившими техническую информацию о методах, которые вредоносная программа использует для использования процедур Android в анализе и извлечении манифестов APK.

Файлы манифеста («AndroidManifest.xml») присутствуют в корневом каталоге каждого приложения и содержат сведения о компонентах (службах, приёмниках широковещательного вещания, поставщиках контента), разрешениях и данных приложения.

По словам аналитиков, хотя существуют различные приёмы сжатия Zimperium, которые вредоносные APK-файлы могут использовать для обмана инструментов безопасности и уклонения от анализа, эксперты Kaspersky обнаружили, что SoumniBot использует три разных метода, включающие в себя манипулирование сжатием и размером файла манифеста, чтобы обойти проверки парсера.

Во-первых, SoumniBot использует недопустимое значение сжатия при распаковке файла манифеста APK, которое отличается от стандартных значений (0 или 8), ожидаемых библиотекой Android libziparchive, которой поручена эта роль. Вместо того, чтобы рассматривать эти значения как неприемлемые, анализатор Android APK по умолчанию распознаёт данные как несжатые из-за ошибки, что позволяет APK обходить проверки безопасности и продолжать выполнение на устройстве.

Оригинал публикации на сайте CISOCLUB: "Пользователей предупредили о распространении нового опасного вредоносного по для Android SoumniBot".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются