Minden androidos alkalmazáshoz tartozik egy .XML kiterjesztésű manifeszt fájl, ami a gyökérkönyvtárban található meg, és ami leírja az alkalmazás összetevőit, az általa kért engedélyeket, valamint a szükséges hardver- és szoftverszolgáltatásokat. Amikor a szakemberek egy vírus után kutatnak, először a manifesztfájlt nézik át, hogy megtudják, pontosan mit csinál egy adott program. A SoumniBot készítői éppen ezért több olyan megoldást is bevetettek, amivel megnehezítik a felderítést.

Az egyik, hogy a trójait úgy készítették el, hogy a tömörítő program egy ponton hibát jelezzen. Ettől függetlenül azonban a hozzá tartozó alkalmazás ugyanúgy telepíthető, mint bármelyik másik. Ez a módszer egyébként nem újkeletű, a banki csalásokra kifejlesztett trójai alkalmazások is alkalmazzák.

A másik trükk, hogy a fájl jóval nagyobbnak mutatja magát, mint amekkora valójában, így a vizsgálat tárhelyproblémákat eredményezhet. De a készítők a memóriával is trükköztek, így a vizsgálat során jóval nagyobb mennyiségű memóriát foglal le a SoumniBot, mint amire egyébként szüksége lenne.

Ezek a problémák csak a trójai vizsgálata idején aktiválódnak, egyébként a vírus minden különösebb probléma nélkül képes futtni a háttérben.

A vírus egyébként adatokat gyűjt a felhasználó eszközéről, valamint parancsokat is képes fogadni. A vírus 16 percenként újraindul, hogy biztosan fusson, 15 másodpercenként pedig adatokat tölt fel egy távoli szerverre. Ezek közé tartoznak az eszköz metaadatai, a Névjegyzék elemei, SMS-ek, fényképek, videók, valamint a telepített alkalmazások listája.

A kártevő képes neveket hozzáadni és törölni a Névjegyzéből, de akár SMS-t is küldhet a készülékről. Emellett képes egy külső adathordozón megtalálni a .key és a .der kiteresztésű fájlokat. Ezek olyan tanusítványokat takarnak, amelyeket a bankok és a kormányzati szervek használnak az ügyfél azonosítására.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.