MMRat mobiili pahavara

Tekkiv Androidi panganduse pahavara nimega MMRat kasutab ebatavalist sidetehnikat, mida tuntakse protobufi andmete serialiseerimisena. See lähenemisviis suurendab pahavara tõhusust ohustatud seadmetest teabe hankimisel.

Küberjulgeolekueksperdid 2023. aasta juunis välja toonud MMRat on peamiselt keskendunud Kagu-Aasias asuvate kasutajate sihtimisele. Kuigi täpne meetod pahavara esialgseks potentsiaalsetele ohvritele levitamiseks on teadmata, on teadlased tuvastanud, et MMRat levib veebisaitide kaudu, mis esinevad seaduslike rakenduste poodidena.

MMRati pahavara sisaldavad petturlikud rakendused laadivad alla ja installivad pahaaimamatud ohvrid. Sageli kehastavad need rakendused valitsuse rakendusi või kohtinguplatvorme. Seejärel taotlevad rakendused installimise ajal olulisi õigusi, sealhulgas juurdepääsu Androidi juurdepääsetavuse teenusele.

Juurdepääsetavuse funktsiooni ära kasutades kindlustab pahavara endale automaatselt lisaload. See võimaldab MMRatil teostada ohustatud seadmes mitmesuguseid kahjulikke tegevusi.

MMRat võimaldab küberkurjategijatel võtta kontrolli paljude seadme funktsioonide üle

Kui MMRat saab juurdepääsu Android-seadmele, loob see side C2-serveriga ja jälgib seadme tegevust jõudeoleku perioodidel. Nende ajavahemike jooksul kasutavad ründajad juurdepääsuteenust seadme eemalt äratamiseks, selle avamiseks ja reaalajas pangapettuste läbiviimiseks.

MMRati põhifunktsioonid hõlmavad võrgu-, ekraani- ja akuandmete kogumist, kasutajate kontaktide ja rakenduste loendite väljafiltreerimist, kasutajate sisendite jäädvustamist klahvilogimise kaudu, reaalajas ekraanisisu hõivamist MediaProjection API kaudu, kaameraandmete salvestamist ja reaalajas voogesitust, ekraaniandmete teksti sisestamist. vormi C2 serverisse ja lõpuks desinstallib ennast, et kustutada infektsiooni jäljed.

MMRati tõhus andmeedastus on ülioluline selle võime jaoks reaalajas ekraanisisu jäädvustada ja tekstiandmeid kasutajaterminali olekust eraldada. Tõhusa pangapettuse võimaldamiseks töötasid pahavara autorid välja kohandatud Protobufi protokolli andmete väljafiltreerimiseks.

MMRat kasutab ründaja serverini jõudmiseks ebatavalist suhtlustehnikat

MMRat kasutab erinevat käsu- ja juhtimisserveri protokolli (C2), mis kasutab nn protokollipuhvreid (Protobuf), et hõlbustada andmeedastust – Androidi troojalaste seas haruldus. Google'i välja töötatud andmete serialiseerimistehnika Protobuf toimib sarnaselt XML-i ja JSON-iga, kuid sellel on väiksem ja kiirem jalajälg.

MMRat kasutab C2-ga suhtlemiseks erinevaid porte ja protokolle. Need hõlmavad HTTP-d pordis 8080 andmete väljafiltrimiseks, RTSP-d ja porti 8554 video voogesituse jaoks ning isikupärastatud Protobuf-rakendust pordis 8887 käsu ja juhtimise jaoks.

C&C protokolli ainulaadsus seisneb selles, et see on kohandatud võrgurakenduste raamistiku Netty ja eelnevalt mainitud Protobufi kasutamiseks. See hõlmab ka hästi struktureeritud sõnumeid. C&C-suhtluses kasutab ohus osaleja kõikehõlmavat struktuuri, et kehastada kõiki sõnumitüüpe, ja märksõna "üks", mis tähistab erinevaid andmekategooriaid.

Lisaks Protobufi tõhususele toetab kohandatud protokollide kasutamine võrguturbetööriistade vältimist, mis tavaliselt tuvastavad juba teadaolevate ohtude äratuntavad mustrid. Tänu Protobufi mitmekülgsusele on MMRati loojatel vabadus määratleda oma sõnumistruktuure ja reguleerida andmeedastusmeetodeid. Samal ajal tagab selle süstemaatiline disain, et saadetud andmed järgivad eelmääratletud kujundusi, vähendades rikkumiste tõenäosust vastuvõtmisel.

MMRati mobiilioht näitab Androidi panganduse troojalaste muutuvat keerukust, kus küberkurjategijad kombineerivad diskreetseid toiminguid tõhusate andmeotsingutehnikatega.