Outro dia, outro trojan está à solta, visando usuários do Android. Desta vez, o ‘SoumniBot’ foi encontrado e alguns truques bastante inteligentes foram usados para evitar a detecção. Atualmente, ele tem como alvo principal usuários na Coreia do Sul, aproveitando os pontos fracos no procedimento de extração e análise de manifesto.
Como você pode ou não saber, todo aplicativo Android vem com um arquivo XML de manifesto, que está localizado no diretório raiz e declara os vários componentes do aplicativo, bem como as permissões e recursos de hardware e software necessários. Como isso é amplamente conhecido, os caçadores de ameaças normalmente iniciam sua análise inspecionando o arquivo de manifesto do aplicativo para determinar seu comportamento.
É importante observar que este método foi adotado por agentes de ameaças associados a vários trojans bancários Android desde abril de 2023. Além disso, o SoumniBot também deturpa o tamanho do arquivo de manifesto arquivado, fornecendo um valor que excede o valor real porque o arquivo “descompactado” é diretamente copiado, com o analisador de manifesto ignorando o restante dos dados de “sobreposição”.
O pesquisador da Kaspersky, Dmitry Kalinin, afirmou que esse malware é notável por sua abordagem não convencional para evitar análise e detecção. Kalinin também disse: “Embora qualquer descompactador que implemente corretamente a validação do método de compactação consideraria um manifesto como esse inválido, o analisador APK do Android o reconhece corretamente e permite que o aplicativo seja instalado”.
SoumniBot ficará invisível quando seu dispositivo estiver infectado
Como muitos outros trojans que afetam dispositivos Android, o SoumniBot ocultará seu ícone após a instalação, tornando-o mais difícil de remover. Mas ele permanece ativo em segundo plano, enviando dados da vítima.
A Kaspersky dá mais detalhes sobre esse Trojan Android, além de fornecer alguns indicadores de comprometimento, para que você possa proteger a si mesmo e ao(s) seu(s) dispositivo(s). A razão pela qual a Kaspersky detalha as técnicas usadas por este Trojan é para que pesquisadores de todo o mundo estejam cientes da tática e possam tomar decisões para evitar que o SoumniBot cause mais estragos.