Categorie
Cyber Security

SoumniBot: malware bancario sfrutta bug Android per evitare il rilevamento

Tempo di lettura: 2 minuti. SoumniBot sfrutta vulnerabilità Android per evitare rilevamento, usando tecniche di offuscamento che complicano l’analisi e il rilevamento

Tempo di lettura: 2 minuti.

Un nuovo tipo di malware bancario, denominato SoumniBot, sta sfruttando vulnerabilità meno conosciute nel sistema di Android per evitare il rilevamento e perpetrare furti di informazioni. Questo malware sfrutta debolezze nella procedura di estrazione e analisi dei file manifest di Android, permettendo attacchi sofisticati e difficili da tracciare.

Tecnica di evasione di SoumniBot

SoumniBot, scoperto da Kaspersky, utilizza un approccio di obfuscation unico che manipola la compressione e la dimensione del file del manifest dell’applicazione (AndroidManifest.xml). Questo file è essenziale per ogni app Android, poiché contiene dettagli critici come componenti, permessi e dati dell’app. Il malware introduce valori di compressione non validi quando disimballa il file del manifest dell’app, che dovrebbero essere rifiutati dalla libreria ‘libziparchive’ di Android. Tuttavia, a causa di un bug, il parser di Android tratta questi dati come non compressi, permettendo al malware di bypassare i controlli di sicurezza e proseguire l’esecuzione sul dispositivo.

Altre tecniche di Evasione

In aggiunta alla manipolazione della compressione, SoumniBot usa due altre tecniche per evitare la rilevazione:

  1. Segnalazione Errata delle Dimensioni del File: SoumniBot segnala una dimensione del file del manifest maggiore di quella reale. Dato che il file viene considerato non compresso, viene copiato direttamente dall’archivio, con dati spazzatura che colmano la differenza.
  2. Stringhe Lunghe nei Nomi dei Namespace XML: Utilizza stringhe insolitamente lunghe per i nomi dei namespace XML nel file del manifest, rendendo difficile per gli strumenti di analisi automatizzati controllarli efficacemente.

Implicazioni e difesa

Le tecniche sofisticate impiegate da SoumniBot sottolineano la necessità per gli sviluppatori di app e per gli utenti di rimanere vigilanti riguardo agli aggiornamenti di sicurezza di Android e di utilizzare software antivirus affidabile. È essenziale per i team IT monitorare le attività sospette e educare gli utenti a evitare download da fonti non affidabili.

SoumniBot rappresenta una minaccia significativa per gli utenti di dispositivi Android, sfruttando le debolezze del sistema per compiere attività malevole. Questo caso evidenzia l’importanza dell’aggiornamento continuo delle misure di sicurezza e del rafforzamento delle capacità di rilevamento e risposta agli attacchi informatici.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version