Un nuovo e sofisticato malware Android, noto come SoumniBot, ha destato preoccupazione tra gli utenti sudcoreani per le sue tecniche ingegnose di offuscamento, che gli consentono di eludere i sistemi di rilevamento e di mettere a rischio i dati sensibili degli utenti, come quelli bancari.
Secondo i ricercatori di Kaspersky, SoumniBot sfrutta vulnerabilità nel modo in cui le app Android interpretano il file manifest di Android, il che gli consente di celare la sua vera natura e di operare inosservato. Questo malware adotta diverse tattiche di offuscamento, tra cui la manipolazione del valore del metodo di compressione e della dimensione del manifest, così come l’uso di nomi estremamente lunghi, rendendo difficile per gli scanner rilevare la sua presenza.
Una volta installato, SoumniBot richiede i parametri di configurazione da un server hardcoded e avvia un servizio dannoso sul dispositivo dell’utente. Inoltre, il malware è in grado di individuare e estrarre certificati digitali utilizzati dalle banche coreane per i servizi bancari online, consentendo agli aggressori di condurre transazioni fraudolente.
Tra le azioni dannose eseguite da SoumniBot vi è l’invio di informazioni sensibili del dispositivo infetto, come numero di telefono e versione del Trojan, nonché la trasmissione di messaggi SMS, contatti, account, foto, video e certificati digitali bancari online della vittima. Questi certificati sono fondamentali per l’online banking e la verifica delle transazioni, rendendo il loro furto particolarmente dannoso.
Il malware può anche eliminare i contatti sul dispositivo, aggiungere nuovi contatti, ottenere i livelli di volume della suoneria e inviare l’elenco delle app installate.
Inoltre, SoumniBot si collega a un server di trasporto telemetrico in accodamento di messaggi (MQTT), facilitando la comunicazione con aggressori remoti e la ricezione di comandi dannosi.
Con la sua capacità di offuscare le sue azioni malevole e di prendere di mira le credenziali bancarie coreane, SoumniBot rappresenta una minaccia significativa per gli utenti Android sudcoreani. I consigli agli utenti, per questo genere di attacchi, suppur questo nello specifico per il momento sembra localizzato unicamente in Sud Corea, sono sempre quelli di prestare attenzione nell’installare app da fonti non attendibili.