البرامج الضارة للأجهزة المحمولة من MMRat

تستخدم إحدى البرمجيات الخبيثة المصرفية الناشئة التي تعمل بنظام Android والمسماة MMRat تقنية اتصال غير شائعة تُعرف باسم تسلسل بيانات protobuf. يعمل هذا الأسلوب على تحسين كفاءة البرامج الضارة في استخراج المعلومات من الأجهزة المخترقة.

تم اكتشاف MMRat من قبل خبراء الأمن السيبراني في يونيو 2023، وهو يركز بشكل أساسي على استهداف المستخدمين الموجودين في جنوب شرق آسيا. على الرغم من أن الطريقة الدقيقة لنشر البرمجيات الخبيثة في البداية إلى الضحايا المحتملين لا تزال غير معروفة، إلا أن الباحثين حددوا أن MMRat ينتشر عبر مواقع الويب التي تتظاهر بأنها متاجر تطبيقات مشروعة.

يتم تنزيل التطبيقات الاحتيالية التي تحمل برنامج MMRat الضار وتثبيتها بواسطة ضحايا غير متوقعين. وفي كثير من الأحيان، تنتحل هذه التطبيقات صفة التطبيقات الحكومية أو منصات المواعدة. بعد ذلك، أثناء التثبيت، تطلب التطبيقات الحصول على الأذونات الأساسية، بما في ذلك الوصول إلى خدمة إمكانية الوصول في Android.

ومن خلال الاستفادة من ميزة إمكانية الوصول، تقوم البرامج الضارة تلقائيًا بتأمين أذونات إضافية لنفسها. يسمح هذا لـ MMRat بتنفيذ مجموعة واسعة من الأنشطة الضارة على الجهاز المخترق.

يسمح MMRat لمجرمي الإنترنت بالتحكم في العديد من وظائف الجهاز

بمجرد حصول MMRat على إمكانية الوصول إلى جهاز Android، فإنه ينشئ اتصالاً مع خادم C2 ويراقب نشاط الجهاز لفترات الخمول. خلال هذه الفواصل الزمنية، يستغل المهاجمون خدمة إمكانية الوصول لتنشيط الجهاز عن بعد، وفتحه، وتنفيذ عمليات احتيال مصرفي في الوقت الفعلي.

تشمل الوظائف الرئيسية لـ MMRat جمع بيانات الشبكة والشاشة والبطارية، وتصفية جهات اتصال المستخدم وقوائم التطبيقات، والتقاط مدخلات المستخدم عبر تسجيل لوحة المفاتيح، والاستيلاء على محتوى الشاشة في الوقت الفعلي من خلال واجهة برمجة تطبيقات MediaProjection، وتسجيل بيانات الكاميرا والبث المباشر، وتفريغ بيانات الشاشة في النص. النموذج إلى خادم C2، وفي النهاية يقوم بإلغاء تثبيت نفسه لمحو آثار العدوى.

يعد النقل الفعال للبيانات من MMRat أمرًا حيويًا لقدرته على التقاط محتوى الشاشة في الوقت الفعلي واستخراج البيانات النصية من "حالة المستخدم الطرفية". لتمكين الاحتيال المصرفي الفعال، صمم مؤلفو البرامج الضارة بروتوكول Protobuf مخصصًا لتصفية البيانات.

يستخدم MMRat تقنية اتصال غير عادية للوصول إلى خادم المهاجم

يستخدم MMRat بروتوكول خادم قيادة وتحكم (C2) مميزًا باستخدام ما يُعرف باسم المخازن المؤقتة للبروتوكول (Protobuf) لتسهيل نقل البيانات بشكل مبسط - وهو أمر نادر في عالم أحصنة طروادة لنظام Android. Protobuf، وهي تقنية لتسلسل البيانات طورتها Google، تعمل بشكل مشابه لـ XML وJSON ولكنها تتميز ببصمة أصغر وأسرع.

يستخدم MMRat منافذ وبروتوكولات متنوعة لتفاعلاته مع C2. وتشمل هذه البروتوكولات HTTP على المنفذ 8080 لاستخراج البيانات، وRTSP والمنفذ 8554 لبث الفيديو، وتنفيذ Protobuf المخصص على المنفذ 8887 للقيادة والتحكم.

يكمن تفرد بروتوكول القيادة والتحكم في أنه مصمم لاستخدام Netty، وإطار تطبيق الشبكة، وProtobuf المذكور سابقًا. يتضمن هذا أيضًا رسائل جيدة التنظيم. ضمن اتصالات القيادة والسيطرة، يعتمد ممثل التهديد بنية شاملة لتجسيد جميع أنواع الرسائل والكلمة الأساسية "واحدة من" للدلالة على فئات البيانات المميزة.

بالإضافة إلى كفاءة Protobuf، فإن استخدام البروتوكولات المخصصة يعزز التهرب من أدوات أمان الشبكة التي تحدد عادةً أنماطًا يمكن التعرف عليها من التهديدات المعروفة بالفعل. بفضل تعدد استخدامات Protobuf، يتمتع منشئو MMRat بالحرية في تحديد هياكل رسائلهم وتنظيم طرق نقل البيانات. وفي الوقت نفسه، يضمن تصميمها المنهجي التزام البيانات المرسلة بالتصميمات المحددة مسبقًا، مما يقلل من احتمالية الفساد عند استلامها.

يُظهر تهديد MMRat للهواتف المحمولة التعقيد المتطور لأحصنة طروادة المصرفية التي تعمل بنظام Android، حيث يجمع مجرمو الإنترنت ببراعة بين العمليات السرية والتقنيات الفعالة لاسترجاع البيانات.