安卓金融木馬SoumniBot利用作業系統應用程式安裝工具弱點迴避偵測

資安業者卡巴斯基揭露名為SoumniBot的安卓金融木馬程式，研究人員總共歸納3種滲透手法，主要與安卓應用程式的檔案清單AndroidManifest.xml有關。

首先，攻擊者在解壓縮APK檔案的時候配置了無效的壓縮參數，使得安卓作業系統上的安裝程式解析器將其視為未壓縮，使得該APK檔案能繞過資安偵測並執行安裝流程。

再者，則是將檔案清單的資料容量設為大於實際數值，使得安裝程式直接從APK檔案複製特定元件，並以垃圾資料填充差異的資料量。雖然這些用來填充的資料並不會直接造成破壞，但攻擊者有可能拿來混淆程式碼。

最後一種手法是在檔案清單的XML名稱空間（Namespaces）使用極長字串的名稱，使得自動分析工具難以進行分析。

而對於該惡意程式的攻擊行動，研究人員指出是針對韓國用戶而來，但究竟攻擊者如何傳遞仍不得而知，而且，一旦安卓手機遭到感染，手機不會出現相關圖示而難以移除，此惡意程式將會在後臺運作，並將受害者資料回傳。