بدافزار موبایل MMRat

یک بدافزار بانکی در حال ظهور اندروید به نام MMRat از یک تکنیک ارتباطی غیر معمول به نام سریال‌سازی داده‌های protobuf استفاده می‌کند. این رویکرد کارایی بدافزار را در استخراج اطلاعات از دستگاه های در معرض خطر افزایش می دهد.

MMRat که توسط کارشناسان امنیت سایبری در ژوئن 2023 کشف شد، عمدتاً روی هدف قرار دادن کاربران واقع در جنوب شرقی آسیا متمرکز شده است. اگرچه روش دقیق انتشار اولیه بدافزار به قربانیان احتمالی ناشناخته باقی مانده است، محققان تشخیص داده‌اند که MMRat از طریق وب‌سایت‌هایی که به عنوان فروشگاه‌های اپلیکیشن قانونی معرفی می‌شوند، منتشر می‌شود.

برنامه های تقلبی حاوی بدافزار MMRat توسط قربانیان ناآگاه دانلود و نصب می شوند. اغلب، این برنامه ها جعل برنامه های دولتی یا پلتفرم های دوستیابی هستند. متعاقباً، در حین نصب، برنامه‌ها درخواست دریافت مجوزهای ضروری از جمله دسترسی به سرویس دسترس‌پذیری Android را دارند.

این بدافزار با بهره گیری از ویژگی Accessibility، به طور خودکار مجوزهای اضافی را برای خود ایمن می کند. این به MMRat اجازه می دهد تا مجموعه گسترده ای از فعالیت های مضر را روی دستگاه در معرض خطر اجرا کند.

MMRat به مجرمان سایبری اجازه می دهد تا کنترل بسیاری از عملکردهای دستگاه را در دست بگیرند

هنگامی که MMRat به یک دستگاه Android دسترسی پیدا می کند، با یک سرور C2 ارتباط برقرار می کند و فعالیت دستگاه را برای دوره های بیکاری نظارت می کند. در طول این فواصل، مهاجمان از سرویس دسترسی برای بیدار کردن دستگاه از راه دور، باز کردن قفل آن و انجام کلاهبرداری بانکی در زمان واقعی سوء استفاده می کنند.

عملکردهای کلیدی MMRat شامل جمع آوری داده های شبکه، صفحه و باتری، استخراج مخاطبین کاربر و لیست برنامه ها، گرفتن ورودی های کاربر از طریق keylogging، ضبط محتوای صفحه نمایش در زمان واقعی از طریق MediaProjection API، ضبط و پخش زنده داده های دوربین، ریختن داده های صفحه نمایش در متن است. به سرور C2 تبدیل می شود و در نهایت خود را حذف می کند تا آثار عفونت پاک شود.

انتقال کارآمد داده MMRat برای توانایی آن در ضبط محتوای صفحه در زمان واقعی و استخراج داده های متنی از "وضعیت پایانه کاربر" حیاتی است. برای فعال کردن کلاهبرداری موثر بانکی، نویسندگان بدافزار یک پروتکل سفارشی Protobuf برای استخراج داده ها طراحی کردند.

MMRat از یک تکنیک ارتباطی غیرمعمول برای دسترسی به سرور مهاجم استفاده می کند

MMRat از پروتکل سرور مجزای Command and Control (C2) استفاده می‌کند که از آنچه به عنوان بافرهای پروتکل (Protobuf) شناخته می‌شود برای تسهیل انتقال داده‌های ساده استفاده می‌کند که در قلمرو تروجان‌های اندرویدی نادر است. Protobuf، یک تکنیک سریال‌سازی داده‌ها که توسط Google توسعه یافته است، عملکردی مشابه XML و JSON دارد، اما دارای ردپای کوچک‌تر و سریع‌تر است.

MMRat از پورت ها و پروتکل های مختلف برای تعامل خود با C2 استفاده می کند. اینها شامل HTTP در پورت 8080 برای استخراج داده، RTSP و پورت 8554 برای پخش ویدئو، و پیاده سازی Protobuf شخصی شده در پورت 8887 برای فرمان و کنترل است.

منحصر به فرد بودن پروتکل C&C در این است که برای استفاده از Netty، یک چارچوب برنامه کاربردی شبکه و Protobuf که قبلا ذکر شد، طراحی شده است. این همچنین پیام های ساختار یافته را در خود جای می دهد. در ارتباطات C&C، عامل تهدید یک ساختار جامع برای تجسم انواع پیام و کلمه کلیدی "یکی" برای نشان دادن دسته های داده متمایز اتخاذ می کند.

فراتر از کارایی Protobuf، استفاده از پروتکل های سفارشی، فرار از ابزارهای امنیتی شبکه را تقویت می کند که به طور معمول الگوهای قابل تشخیص تهدیدات از قبل شناخته شده را شناسایی می کنند. به لطف تطبیق پذیری Protobuf، سازندگان MMRat این آزادی را دارند که ساختار پیام خود را تعریف کنند و روش های انتقال داده را تنظیم کنند. در همین حال، طراحی سیستماتیک آن تضمین می‌کند که داده‌های ارسال شده به طرح‌های از پیش تعریف‌شده پایبند بوده و احتمال فساد پس از دریافت را کاهش می‌دهد.

تهدید تلفن همراه MMRat پیچیدگی در حال تکامل تروجان های بانکداری اندروید را به نمایش می گذارد، با مجرمان سایبری که به طرز ماهرانه ای عملیات محتاطانه را با تکنیک های موثر بازیابی داده ها ترکیب می کنند.