Εκπτώσεις πολλαπλών αδειών
Threat Database Mobile Malware Κακόβουλο λογισμικό MMRat Mobile

Κακόβουλο λογισμικό MMRat Mobile

Μέχρι το Mezo το Mobile Malware, Remote Administration Tools
Μετάφραση σε:
Ελληνικά

Ένα αναδυόμενο τραπεζικό κακόβουλο λογισμικό Android που ονομάζεται MMRat χρησιμοποιεί μια ασυνήθιστη τεχνική επικοινωνίας γνωστή ως σειριοποίηση δεδομένων protobuf. Αυτή η προσέγγιση ενισχύει την αποτελεσματικότητα του κακόβουλου λογισμικού στην εξαγωγή πληροφοριών από παραβιασμένες συσκευές.

Το MMRat, το οποίο ανακαλύφθηκε από ειδικούς στον τομέα της κυβερνοασφάλειας τον Ιούνιο του 2023, επικεντρώνεται κυρίως στη στόχευση χρηστών που βρίσκονται στη Νοτιοανατολική Ασία. Αν και η ακριβής μέθοδος της αρχικής διάδοσης του κακόβουλου λογισμικού σε πιθανά θύματα παραμένει άγνωστη, οι ερευνητές έχουν εντοπίσει ότι το MMRat εξαπλώνεται μέσω ιστοσελίδων που παρουσιάζονται ως νόμιμα καταστήματα εφαρμογών.

Οι δόλιες εφαρμογές που φέρουν το κακόβουλο λογισμικό MMRat κατεβαίνουν και εγκαθίστανται από ανυποψίαστα θύματα. Συχνά, αυτές οι εφαρμογές υποδύονται κυβερνητικές εφαρμογές ή πλατφόρμες γνωριμιών. Στη συνέχεια, κατά την εγκατάσταση, οι εφαρμογές ζητούν να λάβουν βασικές άδειες, συμπεριλαμβανομένης της πρόσβασης στην υπηρεσία Προσβασιμότητας του Android.

Αξιοποιώντας τη δυνατότητα Προσβασιμότητας, το κακόβουλο λογισμικό εξασφαλίζει αυτόματα πρόσθετα δικαιώματα για τον εαυτό του. Αυτό επιτρέπει στο MMRat να εκτελεί ένα ευρύ φάσμα επιβλαβών δραστηριοτήτων στη συσκευή που έχει παραβιαστεί.

Το MMRat επιτρέπει στους κυβερνοεγκληματίες να αναλαμβάνουν τον έλεγχο πολλών λειτουργιών της συσκευής

Μόλις το MMRat αποκτήσει πρόσβαση σε μια συσκευή Android, δημιουργεί επικοινωνία με έναν διακομιστή C2 και παρακολουθεί τη δραστηριότητα της συσκευής για περιόδους αδράνειας. Κατά τη διάρκεια αυτών των διαστημάτων, οι εισβολείς εκμεταλλεύονται την Υπηρεσία Προσβασιμότητας για να αφυπνίσουν εξ αποστάσεως τη συσκευή, να την ξεκλειδώσουν και να πραγματοποιήσουν τραπεζική απάτη σε πραγματικό χρόνο.

Οι βασικές λειτουργίες του MMRat περιλαμβάνουν τη συλλογή δεδομένων δικτύου, οθόνης και μπαταρίας, εξαγωγή επαφών χρηστών και λιστών εφαρμογών, λήψη εισόδων χρήστη μέσω καταγραφής πληκτρολογίου, κατάληψη περιεχομένου οθόνης σε πραγματικό χρόνο μέσω του MediaProjection API, εγγραφή και ζωντανή μετάδοση δεδομένων κάμερας, απόρριψη δεδομένων οθόνης σε κείμενο μορφή στον διακομιστή C2 και τελικά απεγκατάσταση του εαυτού του για να διαγράψει ίχνη μόλυνσης.

Η αποτελεσματική μετάδοση δεδομένων του MMRat είναι ζωτικής σημασίας για την ικανότητά του να καταγράφει περιεχόμενο οθόνης σε πραγματικό χρόνο και να εξάγει δεδομένα κειμένου από την «κατάσταση τερματικού χρήστη». Για να καταστεί δυνατή η αποτελεσματική τραπεζική απάτη, οι δημιουργοί του κακόβουλου λογισμικού σχεδίασαν ένα προσαρμοσμένο πρωτόκολλο Protobuf για την εξαγωγή δεδομένων.

Το MMRat χρησιμοποιεί μια ασυνήθιστη τεχνική επικοινωνίας για να φτάσει στον διακομιστή του εισβολέα

Το MMRat χρησιμοποιεί ένα ξεχωριστό πρωτόκολλο διακομιστή Command and Control (C2) που χρησιμοποιεί αυτό που είναι γνωστό ως buffers πρωτοκόλλου (Protobuf) για τη διευκόλυνση της βελτιστοποιημένης μεταφοράς δεδομένων - κάτι σπάνιο στη σφαίρα των trojans Android. Το Protobuf, μια τεχνική σειριοποίησης δεδομένων που αναπτύχθηκε από την Google, λειτουργεί παρόμοια με τα XML και JSON, αλλά διαθέτει μικρότερο και ταχύτερο αποτύπωμα.

Το MMRat χρησιμοποιεί διάφορες θύρες και πρωτόκολλα για τις αλληλεπιδράσεις του με το C2. Αυτά περιλαμβάνουν HTTP στη θύρα 8080 για εξαγωγή δεδομένων, RTSP και θύρα 8554 για ροή βίντεο και μια εξατομικευμένη υλοποίηση Protobuf στη θύρα 8887 για εντολή και έλεγχο.

Η μοναδικότητα του πρωτοκόλλου C&C έγκειται στο ότι είναι προσαρμοσμένο να χρησιμοποιεί το Netty, ένα πλαίσιο εφαρμογής δικτύου και το προαναφερθέν Protobuf. Αυτό ενσωματώνει επίσης καλά δομημένα μηνύματα. Στο πλαίσιο της επικοινωνίας C&C, ο παράγοντας απειλής υιοθετεί μια ολοκληρωμένη δομή για να ενσωματώνει όλους τους τύπους μηνυμάτων και τη λέξη-κλειδί "ένα από" για να υποδηλώνει διακριτές κατηγορίες δεδομένων.

Πέρα από την αποτελεσματικότητα του Protobuf, η χρήση προσαρμοσμένων πρωτοκόλλων ενισχύει την αποφυγή κατά των εργαλείων ασφάλειας δικτύου που συνήθως προσδιορίζουν αναγνωρίσιμα μοτίβα ήδη γνωστών απειλών. Χάρη στην ευελιξία του Protobuf, οι δημιουργοί του MMRat έχουν την ελευθερία να ορίζουν τις δομές των μηνυμάτων τους και να ρυθμίζουν τις μεθόδους μετάδοσης δεδομένων. Εν τω μεταξύ, ο συστηματικός σχεδιασμός του εγγυάται ότι τα αποσταλμένα δεδομένα συμμορφώνονται με προκαθορισμένα σχέδια, μειώνοντας την πιθανότητα διαφθοράς κατά τη λήψη τους.

Η απειλή για κινητές συσκευές MMRat δείχνει την εξελισσόμενη πολυπλοκότητα των Τρώων τραπεζικών Android, με τους κυβερνοεγκληματίες να συνδυάζουν επιδέξια διακριτικές λειτουργίες με αποτελεσματικές τεχνικές ανάκτησης δεδομένων.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...