Máte mobil s Androidem? Tak pozor na bankovní data – v hledáčku hackerů jste i vy

Jiří Palyza 23.04.2024

Na malwarové scéně se objevil další exemplář, který zneužívá chyby Androidu a úspěšně se vyhýbá detekci. Škodlivý kód, před kterým v těchto dnech varuje bezpečnostní komunita, se zaměřuje na krádež bankovních dat uživatelů.

Nový bankovní malware pro Android, který dostal název "SoumniBot", používá méně obvyklý způsob obcházení bezpečnostních opatření systému a zneužívá slabiny takzvaných Android manifestů. Škodlivému kódu to umožňuje provádět operace, které mají za cíl krást informace.

Android manifesty jsou soubory, které se nacházejí v každém kořenovém adresáři aplikace ('AndroidManifest.xml') a obsahují související základní informace. Definují například komponenty aplikace, kterými mohou být poskytované služby, aktivity, nebo poskytovatelé obsahu, dále různá oprávnění a aplikační data.

SoumniBot se zaměřuje na zneužívání slabých míst procesu extrakce a analýzy manifest souborů APK pro Android. Touto cestou škodlivý kód obchází běžná bezpečnostní opatření a krade citlivé informace.

Mohlo by vás zajímat

Falešné aplikace z Google Play: pozor, možná je máte v telefonu i vy

Bezpečnost

Bezpečnostním expertům se podařilo zjistit, že SoumniBot používá tři různé metody manipulace s kompresí a velikostí manifest souboru, s cílem obejít kontrolu systému Android.

Škodlivý kód zpočátku používá neplatnou hodnotu komprese při rozbalování manifest souboru APK, která se liší od standardních očekávaných hodnot (0 nebo 8).

Místo toho, aby byla použitá hodnota považována za nepřijatelnou, komponenta systému Android v důsledku chyby vyhodnotí data jako nekomprimovaná a pokračuje v provádění operace v zařízení.

Škodlivý kód určený pro Android dokáže přečíst certifikáty online bankovnictví

Elektronické bankovnictví na mobilu — Běžná bezpečnostní opatření Androidu nemají proti novému škodlivému kódu šanci. Obzvlášť nebezpečné je kradení certifikátů elektronického bankovnictví.

V dalším kroku se provede nesprávné zadání velikosti manifest souboru, která se udává větší, než ve skutečnosti je. Protože je soubor vlivem manipulace malwaru označen jako nekomprimovaný, je přímo zkopírován z archivu a rozdíl ve velikostech je doplněn dalšími daty. To ale mate analytické nástroje, protože Android má tendenci dodatečná data ignorovat.

Navíc SoumniBot používá pro atributy jmen v souboru manifestu příliš dlouhé řetězce, což analytickým nástrojům ztěžuje jejich kontrolu. V častých případech totiž nemají dostatek paměti na jejich zpracování.

Vyfiltrovaná data, která se tímto podvodným způsobem daří škodlivému kódu získat, zahrnují IP adresy, seznamy kontaktů, údaje o účtech, textové zprávy, fotky, videa a digitální certifikáty online bankovnictví.

Zdroj: Bleeping Computer