Outro dia, outro trojan está à solta, visando usuários do Android. Desta vez, o ‘SoumniBot’ foi encontrado e alguns truques bastante inteligentes foram usados para evitar a detecção. Atualmente, ele está direcionado principalmente a usuários em Coreia do Sul, aproveitando os pontos fracos no procedimento de extração e análise do manifesto.
Como você pode ou não saber, todo aplicativo Android vem com um arquivo XML de manifesto, que está localizado no diretório raiz e declara os vários componentes do aplicativo, bem como as permissões e recursos de hardware e software necessários. Como isso é amplamente conhecido, os caçadores de ameaças normalmente iniciam sua análise inspecionando o arquivo de manifesto do aplicativo para determinar seu comportamento.
É importante observar que este método foi adotado por agentes de ameaças associados a vários trojans bancários Android desde abril de 2023. Além disso, o SoumniBot também deturpa o tamanho do arquivo de manifesto arquivado, fornecendo um valor que excede o valor real porque o arquivo “descompactado” é diretamente copiado, com o analisador de manifesto ignorando o restante dos dados de “sobreposição”.
O pesquisador da Kaspersky, Dmitry Kalinin, afirmou que esse malware é notável por sua abordagem não convencional para evitar análise e detecção. Kalinin também disse: “Embora qualquer descompactador que implemente corretamente a validação do método de compactação consideraria um manifesto como esse inválido, o analisador APK do Android o reconhece corretamente e permite que o aplicativo seja instalado”.
SoumniBot ficará invisível quando seu dispositivo estiver infectado
Como muitos outros trojans que afetam dispositivos Android, o SoumniBot ocultará seu ícone após a instalação, tornando-o mais difícil de remover. Mas ele permanece ativo em segundo plano, enviando dados da vítima.
Kaspersky entra em mais detalhes sobre este Trojan Android, além de fornecer alguns indicadores de comprometimento, para que você possa proteger você e seu(s) dispositivo(s). A razão pela qual a Kaspersky detalha as técnicas usadas por este Trojan é para que pesquisadores de todo o mundo estejam cientes da tática e possam tomar decisões para evitar que o SoumniBot cause mais estragos.
Para ficar por dentro sobre tudo que acontece no mundo da tecnologia e dos games, continue acompanhando o TecMania.
