MMRat मोबाइल मैलवेयर
MMRat नाम का एक उभरता हुआ एंड्रॉइड बैंकिंग मैलवेयर एक असामान्य संचार तकनीक का उपयोग करता है जिसे प्रोटोबफ़ डेटा क्रमांकन के रूप में जाना जाता है। यह दृष्टिकोण समझौता किए गए उपकरणों से जानकारी निकालने में मैलवेयर की दक्षता को बढ़ाता है।
जून 2023 में साइबर सुरक्षा विशेषज्ञों द्वारा पता लगाया गया, MMRat मुख्य रूप से दक्षिण पूर्व एशिया में स्थित उपयोगकर्ताओं को लक्षित करने पर केंद्रित है। हालाँकि संभावित पीड़ितों तक मैलवेयर के प्रारंभिक प्रसार की सटीक विधि अज्ञात बनी हुई है, शोधकर्ताओं ने पहचान की है कि MMRat वैध ऐप स्टोर के रूप में प्रस्तुत करने वाली वेबसाइटों के माध्यम से फैलता है।
MMRat मैलवेयर वाले धोखाधड़ी वाले एप्लिकेशन को बिना किसी संदेह के पीड़ितों द्वारा डाउनलोड और इंस्टॉल किया जाता है। अक्सर, ये एप्लिकेशन सरकारी एप्लिकेशन या डेटिंग प्लेटफ़ॉर्म का प्रतिरूपण करते हैं। इसके बाद, इंस्टॉलेशन के दौरान, एप्लिकेशन एंड्रॉइड की एक्सेसिबिलिटी सेवा तक पहुंच सहित आवश्यक अनुमतियां प्राप्त करने का अनुरोध करते हैं।
एक्सेसिबिलिटी सुविधा का लाभ उठाकर, मैलवेयर स्वचालित रूप से अपने लिए अतिरिक्त अनुमतियाँ सुरक्षित कर लेता है। यह MMRat को समझौता किए गए डिवाइस पर हानिकारक गतिविधियों की एक विस्तृत श्रृंखला को निष्पादित करने की अनुमति देता है।
MMRat साइबर अपराधियों को कई डिवाइस फ़ंक्शंस पर नियंत्रण रखने की अनुमति देता है
एक बार जब MMRat एंड्रॉइड डिवाइस तक पहुंच प्राप्त कर लेता है, तो यह C2 सर्वर के साथ संचार स्थापित करता है और निष्क्रिय अवधि के लिए डिवाइस गतिविधि की निगरानी करता है। इन अंतरालों के दौरान, हमलावर डिवाइस को दूर से जगाने, उसे अनलॉक करने और वास्तविक समय में बैंक धोखाधड़ी को अंजाम देने के लिए एक्सेसिबिलिटी सेवा का फायदा उठाते हैं।
MMRat के प्रमुख कार्यों में नेटवर्क, स्क्रीन और बैटरी डेटा एकत्र करना, उपयोगकर्ता संपर्कों और एप्लिकेशन सूचियों को बाहर निकालना, कीलॉगिंग के माध्यम से उपयोगकर्ता इनपुट कैप्चर करना, मीडियाप्रोजेक्शन एपीआई के माध्यम से वास्तविक समय स्क्रीन सामग्री को जब्त करना, रिकॉर्डिंग और लाइव-स्ट्रीमिंग कैमरा डेटा, स्क्रीन डेटा को टेक्स्ट में डंप करना शामिल है। C2 सर्वर पर फॉर्म, और अंततः संक्रमण के निशान मिटाने के लिए स्वयं को अनइंस्टॉल करना।
MMRat का कुशल डेटा ट्रांसमिशन वास्तविक समय की स्क्रीन सामग्री को कैप्चर करने और 'उपयोगकर्ता टर्मिनल स्थिति' से टेक्स्ट डेटा निकालने की क्षमता के लिए महत्वपूर्ण है। प्रभावी बैंक धोखाधड़ी को सक्षम करने के लिए, मैलवेयर के लेखकों ने डेटा घुसपैठ के लिए एक कस्टम प्रोटोबफ़ प्रोटोकॉल डिज़ाइन किया।
MMRat हमलावर के सर्वर तक पहुंचने के लिए एक असामान्य संचार तकनीक का उपयोग करता है
MMRat एक विशिष्ट कमांड और कंट्रोल (C2) सर्वर प्रोटोकॉल का उपयोग करता है, जिसे सुव्यवस्थित डेटा ट्रांसफर की सुविधा के लिए प्रोटोकॉल बफ़र्स (प्रोटोबफ़) के रूप में जाना जाता है - एंड्रॉइड ट्रोजन के दायरे में एक दुर्लभ वस्तु। प्रोटोबफ़, Google द्वारा विकसित एक डेटा क्रमबद्धता तकनीक है, जो XML और JSON के समान कार्य करती है, लेकिन एक छोटे और तेज पदचिह्न का दावा करती है।
MMRat C2 के साथ अपनी बातचीत के लिए मिश्रित पोर्ट और प्रोटोकॉल का उपयोग करता है। इनमें डेटा एक्सफिल्ट्रेशन के लिए पोर्ट 8080 पर HTTP, वीडियो स्ट्रीमिंग के लिए RTSP और पोर्ट 8554, और कमांड और नियंत्रण के लिए पोर्ट 8887 पर एक व्यक्तिगत प्रोटोबफ़ कार्यान्वयन शामिल है।
C&C प्रोटोकॉल की विशिष्टता इसमें निहित है कि इसे नेट्टी, एक नेटवर्क एप्लिकेशन फ्रेमवर्क और पहले उल्लिखित प्रोटोबफ़ का उपयोग करने के लिए तैयार किया गया है। इसमें अच्छी तरह से संरचित संदेश भी शामिल हैं। सी एंड सी संचार के भीतर, खतरा अभिनेता सभी संदेश प्रकारों को शामिल करने के लिए एक व्यापक संरचना अपनाता है और अलग-अलग डेटा श्रेणियों को दर्शाने के लिए "वनऑफ़" कीवर्ड को अपनाता है।
प्रोटोबफ की दक्षता से परे, कस्टम प्रोटोकॉल का उपयोग नेटवर्क सुरक्षा उपकरणों के खिलाफ चोरी को बढ़ावा देता है जो आम तौर पर पहले से ज्ञात खतरों के पहचानने योग्य पैटर्न की पहचान करते हैं। प्रोटोबफ की बहुमुखी प्रतिभा के कारण MMRat के रचनाकारों को अपने संदेश संरचनाओं को परिभाषित करने और डेटा ट्रांसमिशन विधियों को विनियमित करने की स्वतंत्रता है। इस बीच, इसका व्यवस्थित डिज़ाइन यह गारंटी देता है कि भेजा गया डेटा पूर्वनिर्धारित डिज़ाइन का पालन करता है, जिससे प्राप्त होने पर भ्रष्टाचार की संभावना कम हो जाती है।
MMRat मोबाइल खतरा एंड्रॉइड बैंकिंग ट्रोजन की बढ़ती जटिलता को दर्शाता है, जिसमें साइबर अपराधी प्रभावी डेटा पुनर्प्राप्ति तकनीकों के साथ विवेकपूर्ण संचालन का संयोजन करते हैं।
