Банковский троян SoumniBot использует баги Android для обхода защитных мер
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Банковский троян SoumniBot использует баги Android для обхода защитных мер

Екатерина Быстрова 18 Апреля 2024 - 10:00
...
Банковский троян SoumniBot использует баги Android для обхода защитных мер

Новый банковский Android-троян, получивший имя SoumniBot, атакует владельцев мобильных устройств с помощью багов в процедуре извлечения и парсинга файла Android Manifest. Такой вектор позволяет вредоносу обходить классические защитные меры в мобильной операционной системе.

На активность зловреда обратили внимание специалисты «Лаборатории Касперского». В анализе SoumniBot эксперты описывают, как операторы задействуют механизм парсинга и извлечения манифестов APK.

Речь идёт о файлах AndroidManifest.xml, которые есть в корневой директории любого приложения. Такие файлы содержат данные о компонентах (сервисы, поставщики контента), разрешениях и софте в целом.

Как ранее отмечали исследователи, вредоносные APK могут использовать различные методы сжатия для обмана защитных средств и ухода от анализа. В Kaspersky выяснили, что SoumniBot задействует три разных метода, включая манипуляции размером и сжатием файла манифеста.

Например, троян указывает некорректное значение сжатия при распаковке файла манифеста APK, оно в этом случае отличается от стандарта — от 0 до 8. Из-за существующего бага парсер APK распознаёт эти данные как несжатые.

В нормальной ситуации анализатор не должен принимать некорректные значения, но уязвимость позволяет обойти проверки и продолжить выполнение задачи на устройстве.

 

Ещё один метод подразумевает указание неверного размера файла манифеста — как правило, он превышает реальное значение. Эксперты подчёркивают, что получившиеся в ходе процесса «наложенные» данные не наносят прямого урона, но играют решающую роль в запутывании инструментов для анализа кода.

Kaspersky уведомила Google о багах в анализаторе APK, теперь осталось дождаться реакции интернет-гиганта. Что касается SoumniBot, троян стартует вредоносную службу, которая перезапускается каждые 16 минут.

Вредонос может удалять или добавлять контакты, отправлять СМС-сообщения, управлять уровнем громкости звонка, включать и выключать беззвучный режим, а также переводить смартфон в режим отладки.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ЦБ пояснил: переводы себе не тронут, проверять будут свыше 200 тыс. ₽
Екатерина Быстрова 12 Ноября 2025 - 21:15
Соответствие законодательству РФ Домашние пользователиГосударство Защита от мошенничестваБезопасность платежей
ЦБ пояснил: переводы себе не тронут, проверять будут свыше 200 тыс. ₽

Банк России уточнил, что проверки на признаки мошенничества затронут не переводы самому себе через Систему быстрых платежей (СБП), а следующие за ними операции — когда клиент переводит деньги другому человеку, которому не отправлял средств минимум полгода.

Разъяснение появилось в официальном сообществе ЦБ во «ВКонтакте» после того, как слова главы департамента информационной безопасности Вадима Уварова вызвали бурное обсуждение.

Ранее он заявил, что крупные переводы самому себе по СБП могут стать признаком мошеннических операций.

В пресс-службе регулятора уточнили: речь идёт только о переводах свыше 200 тысяч рублей, и проверяться будут именно последующие переводы условно «незнакомым» людям, если им не отправлялись деньги в течение полугода.

«Таким образом, проверяться будет не перевод самому себе, а именно последующий перевод другому человеку», — подчеркнули в ЦБ.

По словам Уварова, такие схемы активно используют мошенники: они убеждают человека сначала перевести деньги себе по СБП, а потом направить их на «безопасный счёт».

ЦБ готовит новый приказ с расширенным перечнем признаков подозрительных операций — документ планируют опубликовать в ближайшее время. Предыдущий перечень был обновлён летом 2024 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
MaxPatrol SIEM ускорился на 20% и улучшил качество детектирования атак
Новость
MaxPatrol SIEM ускорился на 20% и улучшил качество детектиро...
На VK WorkSpace Conf показали новые инструменты для бизнеса и ИБ
Новость
На VK WorkSpace Conf показали новые инструменты для бизнеса...
У мошенников недостаточно данных для качественных дипфейков
Новость
У мошенников недостаточно данных для качественных дипфейков

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.