Банкер SoumniBot уклоняется от обнаружения с помощью обфускации манифеста Android Эксперты «Лаборатории Касперского» рассказали о новом банковском трояне для Android, который получил имя
SoumniBot. Этот
вредонос нацелен на корейских пользователей и отличается нестандартным подходом к защите от
анализа и обнаружения. Банкер получил название
SoumniBot и привлек внимание исследователей необычным подходом к
обфускации – для этих целей он использует недостатки манифестов
Android. Файлы манифеста
(AndroidManifest.xml) присутствуют в корневом каталоге любого приложения и содержат информацию о
декларируемых компонентах, разрешениях и других данных приложения, а также помогают ОС извлекать сведения о различных точках входа в программу. Как и операционная система, эксперт в первую очередь знакомится с манифестом, откуда он узнает о точках входа, с которых следует начинать анализ кода приложения. Скорее всего, именно это побудило разработчиков
SoumniBot исследовать особенности обработки манифестов в
Android, и позволило им найти несколько интересных возможностей для
обфускации APK.