Programari maliciós mòbil MMRat

Un programari maliciós bancari emergent per a Android anomenat MMRat utilitza una tècnica de comunicació poc comuna coneguda com a serialització de dades protobuf. Aquest enfocament millora l'eficiència del programari maliciós per extreure informació de dispositius compromesos.

Descobert per experts en ciberseguretat el juny de 2023, MMRat es concentra principalment a orientar-se als usuaris situats al sud-est asiàtic. Tot i que encara es desconeix el mètode precís de la difusió inicial del programari maliciós a les víctimes potencials, els investigadors han identificat que MMRat es propaga a través de llocs web que es presenten com a botigues d'aplicacions legítimes.

Les víctimes insospitades descarreguen i instal·len les aplicacions fraudulentes que porten el programari maliciós MMRat. Sovint, aquestes aplicacions suplanten aplicacions governamentals o plataformes de cites. Posteriorment, durant la instal·lació, les aplicacions sol·liciten rebre els permisos essencials, inclòs l'accés al servei d'accessibilitat d'Android.

En aprofitar la funció d'accessibilitat, el programari maliciós assegura automàticament permisos addicionals. Això permet que MMRat executi una àmplia gamma d'activitats nocives al dispositiu compromès.

MMRat permet als cibercriminals prendre el control de nombroses funcions del dispositiu

Un cop MMRat accedeix a un dispositiu Android, estableix la comunicació amb un servidor C2 i supervisa l'activitat del dispositiu durant els períodes d'inactivitat. Durant aquests intervals, els atacants exploten el servei d'accessibilitat per despertar el dispositiu de forma remota, desbloquejar-lo i dur a terme fraus bancaris en temps real.

Les funcions clau de MMRat inclouen la recollida de dades de la xarxa, la pantalla i la bateria, l'exfiltració de contactes d'usuari i llistes d'aplicacions, captura d'entrades d'usuari mitjançant el registre de tecles, captura de contingut de la pantalla en temps real a través de l'API MediaProjection, enregistrament i transmissió en directe de dades de la càmera, llançament de dades de la pantalla en text. formulari al servidor C2 i, finalment, desinstal·lar-se per esborrar rastres d'infecció.

La transmissió de dades eficient de MMRat és vital per a la seva capacitat per capturar contingut de la pantalla en temps real i extreure dades de text de l'"estat del terminal de l'usuari". Per permetre un frau bancari efectiu, els autors del programari maliciós van dissenyar un protocol personalitzat de Protobuf per a l'exfiltració de dades.

MMRat utilitza una tècnica de comunicació inusual per arribar al servidor de l'atacant

MMRat empra un protocol de servidor de comandament i control (C2) diferent que utilitza el que es coneix com a buffers de protocol (Protobuf) per facilitar la transferència de dades racionalitzada, una raresa en l'àmbit dels troians d'Android. Protobuf, una tècnica de serialització de dades desenvolupada per Google, funciona de manera similar a XML i JSON, però té una empremta més petita i ràpida.

MMRat utilitza ports i protocols variats per a les seves interaccions amb el C2. Aquests inclouen HTTP al port 8080 per a l'exfiltració de dades, RTSP i el port 8554 per a la transmissió de vídeo, i una implementació personalitzada de Protobuf al port 8887 per a comandament i control.

La singularitat del protocol C&C rau en que s'ha fet a mida per utilitzar Netty, un marc d'aplicacions de xarxa i el Protobuf esmentat anteriorment. Això també incorpora missatges ben estructurats. Dins de la comunicació C&C, l'actor de l'amenaça adopta una estructura integral per incorporar tots els tipus de missatges i la paraula clau "oneof" per significar diferents categories de dades.

Més enllà de l'eficiència de Protobuf, la utilització de protocols personalitzats reforça l'evasió contra les eines de seguretat de la xarxa que normalment identifiquen patrons reconeixibles d'amenaces ja conegudes. Gràcies a la versatilitat de Protobuf, els creadors de MMRat tenen la llibertat de definir les seves estructures de missatges i de regular els mètodes de transmissió de dades. Mentrestant, el seu disseny sistemàtic garanteix que les dades enviades s'adhereixen als dissenys predefinits, reduint la probabilitat de corrupció en rebre'ls.

L'amenaça mòbil MMRat mostra l'evolució de la complexitat dels troians bancaris d'Android, amb els ciberdelinqüents que combinen hàbilment operacions discretes amb tècniques efectives de recuperació de dades.