MMRat Mobile Malware

Nově vznikající bankovní malware pro Android s názvem MMRat využívá neobvyklou komunikační techniku známou jako serializace dat protobuf. Tento přístup zvyšuje efektivitu malwaru při získávání informací z napadených zařízení.

MMRat, který objevili odborníci na kybernetickou bezpečnost v červnu 2023, se primárně zaměřuje na uživatele v jihovýchodní Asii. Přestože přesná metoda počátečního šíření malwaru potenciálním obětem zůstává neznámá, výzkumníci zjistili, že MMRat se šíří prostřednictvím webových stránek, které se tváří jako legitimní obchody s aplikacemi.

Podvodné aplikace nesoucí malware MMRat si stahují a instalují nic netušící oběti. Tyto aplikace se často vydávají za vládní aplikace nebo seznamovací platformy. Následně během instalace aplikace žádají o získání nezbytných oprávnění, včetně přístupu ke službě Přístupnost systému Android.

Využitím funkce Usnadnění si malware automaticky zajistí další oprávnění. To umožňuje MMRat provádět širokou škálu škodlivých aktivit na napadeném zařízení.

MMRat umožňuje kyberzločincům převzít kontrolu nad četnými funkcemi zařízení

Jakmile MMRat získá přístup k zařízení Android, naváže komunikaci se serverem C2 a monitoruje aktivitu zařízení po dobu nečinnosti. Během těchto intervalů útočníci zneužijí službu usnadnění k probuzení zařízení, odemknutí a provedení bankovních podvodů v reálném čase.

Mezi klíčové funkce MMRat patří shromažďování dat o síti, obrazovce a baterii, exfiltrace uživatelských kontaktů a seznamů aplikací, zachycování uživatelských vstupů pomocí keyloggingu, zachycení obsahu obrazovky v reálném čase pomocí MediaProjection API, nahrávání a živé vysílání dat z kamery, ukládání dat z obrazovky do textu. formuláře na server C2 a nakonec se odinstaluje, aby se vymazaly stopy infekce.

Efektivní přenos dat MMRat je zásadní pro jeho schopnost zachytit obsah obrazovky v reálném čase a extrahovat textová data ze „stavu uživatelského terminálu“. Aby autoři malwaru umožnili efektivní bankovní podvody, navrhli vlastní protokol Protobuf pro exfiltraci dat.

MMRat využívá neobvyklou komunikační techniku k dosažení serveru útočníka

MMRat využívá odlišný serverový protokol Command and Control (C2), který využívá takzvané protokolové vyrovnávací paměti (Protobuf) k usnadnění efektivního přenosu dat – což je v oblasti trojských koní Android vzácnost. Protobuf, technika serializace dat vyvinutá společností Google, funguje podobně jako XML a JSON, ale může se pochlubit menší a rychlejší stopou.

MMRat využívá různé porty a protokoly pro své interakce s C2. Ty zahrnují HTTP na portu 8080 pro exfiltraci dat, RTSP a port 8554 pro streamování videa a personalizovanou implementaci Protobuf na portu 8887 pro příkazy a řízení.

Jedinečnost protokolu C&C spočívá v tom, že je přizpůsoben pro použití Netty, síťového aplikačního rámce a již zmíněného Protobufu. To také zahrnuje dobře strukturované zprávy. V rámci komunikace C&C si aktér hrozeb osvojuje komplexní strukturu, která zahrnuje všechny typy zpráv a klíčové slovo „oneof“ pro označení různých kategorií dat.

Kromě účinnosti Protobufu podporuje využití vlastních protokolů úniky proti nástrojům síťové bezpečnosti, které obvykle identifikují rozpoznatelné vzorce již známých hrozeb. Díky všestrannosti Protobufu mají tvůrci MMRat svobodu definovat své struktury zpráv a regulovat způsoby přenosu dat. Mezitím jeho systematický design zaručuje, že odesílaná data dodržují předem definované návrhy, čímž se snižuje pravděpodobnost poškození při přijetí.

Mobilní hrozba MMRat ukazuje vyvíjející se složitost bankovních trojských koní pro Android, přičemž kyberzločinci obratně kombinují diskrétní operace s účinnými technikami získávání dat.