MMRat Mobile Malware

En ny Android-bank-malware ved navn MMRat anvender en usædvanlig kommunikationsteknik kendt som protobuf-dataserialisering. Denne tilgang forbedrer malwarens effektivitet i at udtrække information fra kompromitterede enheder.

MMRat blev gravet frem af cybersikkerhedseksperter i juni 2023 og er primært koncentreret om at målrette mod brugere i Sydøstasien. Selvom den præcise metode til malwarens indledende spredning til potentielle ofre forbliver ukendt, har forskere identificeret, at MMRat spredes gennem websteder, der udgiver sig for at være legitime app-butikker.

De svigagtige applikationer, der bærer MMRat-malwaren, downloades og installeres af intetanende ofre. Disse applikationer efterligner ofte offentlige applikationer eller datingplatforme. Efterfølgende, under installationen, anmoder applikationerne om at modtage væsentlige tilladelser, herunder adgang til Androids tilgængelighedstjeneste.

Ved at drage fordel af tilgængelighedsfunktionen sikrer malwaren automatisk yderligere tilladelser til sig selv. Dette giver MMRat mulighed for at udføre en bred vifte af skadelige aktiviteter på den kompromitterede enhed.

MMRat giver cyberkriminelle mulighed for at tage kontrol over adskillige enhedsfunktioner

Når MMRat får adgang til en Android-enhed, etablerer den kommunikation med en C2-server og overvåger enhedsaktivitet i inaktive perioder. I disse intervaller udnytter angribere Accessibility Service til at fjernaktivere enheden, låse den op og udføre banksvindel i realtid.

MMRats nøglefunktioner omfatter indsamling af netværks-, skærm- og batteridata, eksfiltrering af brugerkontakter og applikationslister, indfangning af brugerinput via keylogging, beslaglæggelse af skærmindhold i realtid gennem MediaProjection API, optagelse og live-streaming af kameradata, dumping af skærmdata i tekst formular til C2-serveren og i sidste ende afinstallere sig selv for at slette spor af infektion.

MMRats effektive datatransmission er afgørende for dens evne til at fange skærmindhold i realtid og udtrække tekstdata fra 'brugerterminaltilstanden'. For at muliggøre effektiv banksvig designet malwarens forfattere en tilpasset Protobuf-protokol til dataeksfiltrering.

MMRat bruger en usædvanlig kommunikationsteknik til at nå angriberens server

MMRat anvender en særskilt Command and Control (C2) serverprotokol, der bruger det, der er kendt som protokolbuffere (Protobuf) for at lette strømlinet dataoverførsel - en sjældenhed inden for Android-trojanske heste. Protobuf, en dataserialiseringsteknik udviklet af Google, fungerer på samme måde som XML og JSON, men kan prale af et mindre og hurtigere fodaftryk.

MMRat anvender diverse porte og protokoller til sin interaktion med C2. Disse omfatter HTTP på port 8080 til dataeksfiltrering, RTSP og port 8554 til videostreaming og en personlig Protobuf-implementering på port 8887 til kommando og kontrol.

Det unikke ved C&C-protokollen ligger i, at den er skræddersyet til at bruge Netty, en netværksapplikationsramme, og den tidligere nævnte Protobuf. Dette inkorporerer også velstrukturerede budskaber. Inden for C&C-kommunikation vedtager trusselsaktøren en omfattende struktur, der inkorporerer alle meddelelsestyper og nøgleordet "oneof" for at angive forskellige datakategorier.

Ud over Protobufs effektivitet styrker brugen af brugerdefinerede protokoller unddragelse af netværkssikkerhedsværktøjer, der typisk identificerer genkendelige mønstre af allerede kendte trusler. Takket være Protobufs alsidighed har MMRats skabere frihed til at definere deres meddelelsesstrukturer og regulere datatransmissionsmetoderne. I mellemtiden garanterer dets systematiske design, at afsendte data overholder foruddefinerede designs, hvilket reducerer sandsynligheden for korruption ved modtagelse.

Mobiltruslen MMRat viser den udviklende kompleksitet af Android-banktrojanske heste, hvor cyberkriminelle dygtigt kombinerer diskrete operationer med effektive datahentningsteknikker.