MMRat Mobile -haittaohjelma

Nouseva Android-pankkihaittaohjelma nimeltä MMRat käyttää harvinaista viestintätekniikkaa, joka tunnetaan nimellä protobuf-tietojen serialisointi. Tämä lähestymistapa parantaa haittaohjelman tehokkuutta tiedon poimimisessa vaarantuneista laitteista.

Kyberturvallisuusasiantuntijoiden kesäkuussa 2023 kaivaa esiin MMRat keskittyy ensisijaisesti Kaakkois-Aasiassa sijaitseviin käyttäjiin. Vaikka tarkkaa tapaa, jolla haittaohjelma leviää alun perin mahdollisille uhreille, ei tiedetä, tutkijat ovat havainneet, että MMRat leviää laillisina sovelluskaupoina esiintyvien verkkosivustojen kautta.

Pahaa aavistamattomat uhrit lataavat ja asentavat MMRat-haittaohjelmia sisältävät petolliset sovellukset. Usein nämä sovellukset jäljittelevät valtion sovelluksia tai treffialustoja. Myöhemmin asennuksen aikana sovellukset pyytävät saada tärkeitä käyttöoikeuksia, mukaan lukien pääsy Androidin esteettömyyspalveluun.

Hyödyntämällä esteettömyysominaisuutta, haittaohjelma turvaa automaattisesti lisäkäyttöoikeuksia itselleen. Tämän ansiosta MMRat voi suorittaa laajan valikoiman haitallisia toimintoja vaarantuneella laitteella.

MMRatin avulla kyberrikolliset voivat hallita lukuisia laitetoimintoja

Kun MMRat pääsee Android-laitteeseen, se muodostaa yhteyden C2-palvelimeen ja tarkkailee laitteen toimintaa lepotilan ajan. Tänä aikana hyökkääjät hyödyntävät saavutettavuuspalvelua herättääkseen laitteen etäyhteyden kautta, avatakseen sen lukituksen ja suorittaakseen reaaliaikaisia pankkipetoksia.

MMRatin tärkeimmät toiminnot ovat verkko-, näyttö- ja akkutietojen kerääminen, käyttäjien yhteystietojen ja sovellusluetteloiden poistaminen, käyttäjien syötteiden sieppaaminen näppäinlokien avulla, reaaliaikaisen näytön sisällön sieppaus MediaProjection API:n kautta, kameratietojen tallennus ja suoratoisto, näyttötietojen tallentaminen tekstiin. lomakkeen C2-palvelimelle ja lopulta poistaa itsensä infektion jälkien poistamiseksi.

MMRatin tehokas tiedonsiirto on elintärkeää sen kyvylle kaapata reaaliaikaista näytön sisältöä ja poimia tekstidataa "käyttäjäpäätteen tilasta". Tehokkaan pankkipetoksen mahdollistamiseksi haittaohjelman tekijät suunnittelivat mukautetun Protobuf-protokollan tietojen suodatusta varten.

MMRat käyttää epätavallista viestintätekniikkaa saavuttaakseen hyökkääjän palvelimen

MMRat käyttää erillistä Command and Control (C2) -palvelinprotokollaa, joka hyödyntää niin kutsuttuja protokollapuskureita (Protobuf) helpottaakseen virtaviivaista tiedonsiirtoa – harvinaisuus Android-troijalaisten valtakunnassa. Protobuf, Googlen kehittämä tietojen serialisointitekniikka, toimii samalla tavalla kuin XML ja JSON, mutta siinä on pienempi ja nopeampi jalanjälki.

MMRat käyttää erilaisia portteja ja protokollia vuorovaikutuksessaan C2:n kanssa. Näihin kuuluvat HTTP portissa 8080 tietojen suodatusta varten, RTSP ja portti 8554 videoiden suoratoistoa varten sekä personoitu Protobuf-toteutus portissa 8887 komentoa ja ohjausta varten.

C&C-protokollan ainutlaatuisuus piilee siinä, että se on räätälöity käyttämään verkkosovelluskehystä Nettyä ja aiemmin mainittua Protobufia. Tämä sisältää myös hyvin jäsenneltyjä viestejä. C&C-viestinnässä uhkatekijä omaksuu kattavan rakenteen, joka sisältää kaikki viestityypit, ja "yksi"-avainsanan merkitsemään erillisiä tietoluokkia.

Protobufin tehokkuuden lisäksi räätälöityjen protokollien käyttö tukee kiertoa verkon suojaustyökaluja vastaan, jotka tyypillisesti tunnistavat jo tunnettujen uhkien tunnistettavia malleja. Protobufin monipuolisuuden ansiosta MMRatin tekijöillä on vapaus määritellä viestirakenteitaan ja säännellä tiedonsiirtomenetelmiä. Samaan aikaan sen systemaattinen suunnittelu takaa, että lähetetyt tiedot noudattavat ennalta määritettyjä suunnitelmia, mikä vähentää korruption todennäköisyyttä vastaanotettaessa.

MMRat-mobiiliuhka esittelee Android-pankkitroijalaisten kehittyvän monimutkaisuuden, ja kyberrikolliset yhdistävät taitavasti hienovaraiset toiminnot tehokkaisiin tiedonhakutekniikoihin.