תוכנה זדונית ניידת MMRat

תוכנת זדונית בנקאית מתפתחת באנדרואיד בשם MMRat משתמשת בטכניקת תקשורת לא נפוצה המכונה פרוטובוף בהמשכה. גישה זו משפרת את היעילות של התוכנה הזדונית בחילוץ מידע ממכשירים שנפגעו.

MMRat שנחשף על ידי מומחי אבטחת סייבר ביוני 2023, מתרכז בעיקר במיקוד למשתמשים הממוקמים בדרום מזרח אסיה. למרות שהשיטה המדויקת להפצה הראשונית של התוכנה הזדונית לקורבנות פוטנציאליים עדיין לא ידועה, חוקרים זיהו כי MMRat מתפשט דרך אתרי אינטרנט המתחזות לחנויות אפליקציות לגיטימיות.

יישומי הונאה הנושאים את התוכנה הזדונית MMRat מורידים ומותקנים על ידי קורבנות תמימים. לעתים קרובות, יישומים אלה מתחזים ליישומים ממשלתיים או פלטפורמות היכרויות. לאחר מכן, במהלך ההתקנה, האפליקציות מבקשות לקבל הרשאות חיוניות, כולל גישה לשירות הנגישות של אנדרואיד.

על ידי ניצול תכונת הנגישות, התוכנה הזדונית מאבטחת לעצמה הרשאות נוספות באופן אוטומטי. זה מאפשר ל-MMRat לבצע מגוון רחב של פעילויות מזיקות במכשיר שנפגע.

MMRat מאפשר לפושעי סייבר להשתלט על מספר רב של פונקציות מכשירים

ברגע ש-MMRat מקבל גישה למכשיר אנדרואיד, הוא יוצר תקשורת עם שרת C2 ומנטר את פעילות המכשיר לתקופות סרק. במהלך המרווחים הללו, תוקפים מנצלים את שירות הנגישות כדי להעיר מרחוק את המכשיר, לפתוח אותו ולבצע הונאה בנקאית בזמן אמת.

הפונקציות העיקריות של MMRat כוללות איסוף נתוני רשת, מסך וסוללה, סינון אנשי קשר ורשימות יישומים של משתמשים, לכידת קלט של משתמשים באמצעות רישום מקשים, תפיסת תוכן מסך בזמן אמת דרך ה-API של MediaProjection, הקלטת וזרימה חיה של נתוני מצלמה, השלכת נתוני מסך בטקסט טופס לשרת C2, ובסופו של דבר מסיר את עצמו כדי למחוק עקבות של זיהום.

העברת הנתונים היעילה של MMRat חיונית ליכולתה ללכוד תוכן מסך בזמן אמת ולחלץ נתוני טקסט מ'מצב מסוף המשתמש'. כדי לאפשר הונאה בנקאית אפקטיבית, מחברי התוכנה הזדונית תכננו פרוטוקול Protobuf מותאם אישית להוצאת נתונים.

MMRat משתמש בטכניקת תקשורת יוצאת דופן כדי להגיע לשרת של התוקף

MMRat משתמש בפרוטוקול שרת פקודה ושליטה (C2) מובהק המשתמש במה שמכונה מאגרי פרוטוקול (Protobuf) כדי להקל על העברת נתונים יעילה - דבר נדיר בתחום הטרויאנים של אנדרואיד. Protobuf, טכניקת הסדרת נתונים שפותחה על ידי גוגל, מתפקדת בדומה ל-XML ו-JSON אך מתהדרת בטביעת רגל קטנה ומהירה יותר.

MMRat משתמשת במגוון יציאות ופרוטוקולים עבור האינטראקציות שלה עם ה-C2. אלה כוללים HTTP על יציאה 8080 עבור חילוץ נתונים, RTSP ויציאה 8554 עבור הזרמת וידאו, ויישום Protobuf מותאם אישית על יציאה 8887 עבור שליטה ובקרה.

הייחודיות של פרוטוקול C&C נעוצה בכך שהוא מותאם לשימוש ב-Netty, מסגרת אפליקציית רשת, ובפרוטובוף שהוזכר קודם לכן. זה משלב גם מסרים מובנים היטב. בתוך תקשורת C&C, שחקן האיום מאמץ מבנה מקיף כדי לגלם את כל סוגי ההודעות ואת מילת המפתח "אחד מבין" כדי לסמן קטגוריות נתונים שונות.

מעבר ליעילות של Protobuf, השימוש בפרוטוקולים מותאמים אישית מחזק התחמקות מכלי אבטחת רשת המזהים בדרך כלל דפוסים ניתנים לזיהוי של איומים ידועים. בזכות הרבגוניות של Protobuf ליוצרים של MMRat יש את החופש להגדיר את מבני המסרים שלהם ולווסת את שיטות העברת הנתונים. בינתיים, העיצוב השיטתי שלו מבטיח שהנתונים הנשלחים תואמים לעיצובים מוגדרים מראש, ומפחיתים את הסבירות לשחיתות עם קבלתם.

האיום הנייד MMRat מציג את המורכבות המתפתחת של סוסים טרויאניים בנקאיים אנדרואיד, כאשר פושעי הסייבר משלבים בצורה מיומנת פעולות דיסקרטיות עם טכניקות אחזור נתונים יעילות.