一种名为“SoumniBot”的新 Android 银行歹意软件经过运用 Android 清单提取和解析过程中的缺点，运用了新的混杂办法。

　　该办法使 SoumniBot 可以躲避 Android 手机中的规范安全措施并履行信息盗取操作。

　　研究人员发现并剖析后供给了该歹意软件运用 Android 例程解析和提取 APK 清单的办法的技能细节。

　　清单文件（“AndroidManifest.xml”）坐落每个应用程序的根目录中，包含有关组件（服务、播送接纳器、内容供给程序）、权限和应用程序数据的详细信息。

　　尽管歹意 APK 可以正常的运用 Zimperium 的各种紧缩技巧来捉弄安全东西并躲避剖析，但剖析师发现 SoumniBot 运用了三种不同的办法来绕过解析器查看，其间触及操作清单文件的紧缩和巨细。

　　首要，SoumniBot 在解压 APK 的清单文件时运用无效的紧缩值，该值与担任该人物的 Android“libziparchive”库预期的规范值（0 或 8）不同。

　　Android APK 解析器不会将这些值视为不行承受，而是默许将数据辨认为因为过错而未紧缩，然后答应 APK 绕过安全查看并持续在设备上履行。

　　第二种办法触及过错报告 APK 中清单文件的巨细，供给大于实践数字的值。

　　因为该文件在上一步中已被标记为未紧缩，因而直接从存档中仿制该文件，并用废物“掩盖”数据填充差异。

　　尽管这些额定的数据不会直接危害设备，但它在混杂代码剖析东西方面发挥着至关重要的效果。

　　第三种躲避技能是在清单文件中运用十分长的字符串作为 XML 命名空间的称号，这使得主动剖析东西很难查看到它们，而主动剖析东西一般缺少满足的内存来处理它们。

　　Android 官方剖析实用程序 APK 剖析器没办法运用上述躲避办法处理文件。

　　发动后，SoumniBot 从硬编码服务器地址请求其装备参数，并发送受感染设备的剖析信息，包含编号、运营商等。

　　接下来，它会发动一个歹意服务，假如中止，该服务每 16 分钟就会从头再发动一次，并每 15 秒传输一次从受害者那里盗取的数据。

　　走漏的概况信息包含 IP 地址、联系人列表、帐户概况信息、短信、相片、视频和网上银行数字证书。数据走漏由歹意软件经过 MQTT 服务器接纳的指令操控，这些指令还对以下功用进行排序：

　　现在尚不清楚 SoumniBot 怎么抵达设备，但办法或许不相同，从经过第三方 Android 商铺和不安全网站分发到运用受信赖存储库中的歹意代码更新合法应用程序。

　　SoumniBot 主要是针对韩国用户，与许多歹意 Android 应用程序相同，它在装置后躲藏其图标，使其更难以删去。其实，它在后台依然活泼，并从受害者处上传数据。

上一篇:上古战歌斗帝传奇时装获取 赏金传奇烈焰皇朝刷怪专属神装

下一篇:绿色试验室的挑选：低溶剂耗费全主动索氏提取器