MMRat Mobile Malware

Нововъзникващият банков зловреден софтуер за Android, наречен MMRat, използва необичайна комуникационна техника, известна като сериализация на данни protobuf. Този подход подобрява ефективността на зловреден софтуер при извличане на информация от компрометирани устройства.

Открит от експерти по киберсигурност през юни 2023 г., MMRat е съсредоточен основно върху насочване към потребители, намиращи се в Югоизточна Азия. Въпреки че точният метод на първоначалното разпространение на зловреден софтуер до потенциални жертви остава неизвестен, изследователите са установили, че MMRat се разпространява чрез уебсайтове, представящи се за законни магазини за приложения.

Измамните приложения, носещи зловреден софтуер MMRat, се изтеглят и инсталират от нищо неподозиращи жертви. Често тези приложения се представят за държавни приложения или платформи за запознанства. Впоследствие, по време на инсталацията, приложенията искат да получат основни разрешения, включително достъп до услугата за достъпност на Android.

Като се възползва от функцията за достъпност, зловредният софтуер автоматично си осигурява допълнителни разрешения. Това позволява на MMRat да изпълнява широк набор от вредни дейности на компрометираното устройство.

MMRat позволява на киберпрестъпниците да поемат контрол върху множество функции на устройството

След като MMRat получи достъп до устройство с Android, той установява комуникация със сървър C2 и наблюдава активността на устройството за периоди на неактивност. През тези интервали нападателите използват услугата за достъпност, за да събудят дистанционно устройството, да го отключат и да извършат банкова измама в реално време.

Ключовите функции на MMRat включват събиране на данни за мрежата, екрана и батерията, ексфилтриране на потребителски контакти и списъци с приложения, улавяне на въведени данни от потребители чрез keylogging, изземване на екранно съдържание в реално време чрез MediaProjection API, записване и поточно предаване на данни от камерата, изхвърляне на екранни данни в текст към C2 сървъра и в крайна сметка се деинсталира, за да изтрие следи от инфекция.

Ефективното предаване на данни на MMRat е жизненоважно за способността му да улавя екранно съдържание в реално време и да извлича текстови данни от „състоянието на потребителския терминал“. За да осигурят ефективна банкова измама, авторите на зловреден софтуер проектираха персонализиран протокол Protobuf за кражба на данни.

MMRat използва необичайна комуникационна техника, за да достигне до сървъра на нападателя

MMRat използва различен сървърен протокол за командване и контрол (C2), използващ това, което е известно като протоколни буфери (Protobuf), за да улесни рационализирания трансфер на данни - рядкост в областта на троянските коне за Android. Protobuf, техника за сериализиране на данни, разработена от Google, функционира подобно на XML и JSON, но може да се похвали с по-малък и по-бърз отпечатък.

MMRat използва разнообразни портове и протоколи за взаимодействието си с C2. Те включват HTTP на порт 8080 за ексфилтриране на данни, RTSP и порт 8554 за видео стрийминг и персонализирана реализация на Protobuf на порт 8887 за командване и контрол.

Уникалността на C&C протокола се състои в това, че той е пригоден да използва Netty, рамка за мрежови приложения и споменатия по-рано Protobuf. Това също така включва добре структурирани съобщения. В рамките на C&C комуникацията, актьорът на заплахата възприема цялостна структура, за да въплъти всички типове съобщения и ключовата дума „oneof“, за да обозначи отделни категории данни.

Освен ефективността на Protobuf, използването на персонализирани протоколи подпомага избягването на инструменти за мрежова сигурност, които обикновено идентифицират разпознаваеми модели на вече известни заплахи. Благодарение на гъвкавостта на Protobuf, създателите на MMRat имат свободата да дефинират своите структури на съобщения и да регулират методите за предаване на данни. Междувременно неговият систематичен дизайн гарантира, че изпратените данни се придържат към предварително дефинирани дизайни, намалявайки вероятността от повреда при получаване.

Мобилната заплаха MMRat демонстрира развиващата се сложност на банковите троянски коне за Android, като киберпрестъпниците умело комбинират дискретни операции с ефективни техники за извличане на данни.