MMRat mobilni zlonamjerni softver

Android bankarski zlonamjerni softver u nastajanju pod nazivom MMRat koristi neuobičajenu komunikacijsku tehniku poznatu kao protobuf serijalizacija podataka. Ovaj pristup povećava učinkovitost zlonamjernog softvera u izvlačenju informacija s kompromitiranih uređaja.

Otkriven od strane stručnjaka za kibernetičku sigurnost u lipnju 2023., MMRat je prvenstveno koncentriran na ciljanje korisnika koji se nalaze u jugoistočnoj Aziji. Iako točna metoda početnog širenja zlonamjernog softvera potencijalnim žrtvama ostaje nepoznata, istraživači su identificirali da se MMRat širi putem web stranica koje se predstavljaju kao legitimne trgovine aplikacija.

Lažne aplikacije koje nose MMRat malware preuzimaju i instaliraju žrtve koje ništa ne sumnjaju. Te aplikacije često oponašaju državne aplikacije ili platforme za upoznavanje. Naknadno, tijekom instalacije, aplikacije traže primanje osnovnih dozvola, uključujući pristup Androidovoj usluzi pristupačnosti.

Iskorištavanjem prednosti značajke pristupačnosti, zlonamjerni softver automatski osigurava dodatna dopuštenja za sebe. To omogućuje MMRat-u izvršavanje širokog spektra štetnih aktivnosti na kompromitiranom uređaju.

MMRat omogućuje kibernetičkim kriminalcima da preuzmu kontrolu nad brojnim funkcijama uređaja

Nakon što MMRat dobije pristup Android uređaju, uspostavlja komunikaciju s C2 poslužiteljem i prati aktivnost uređaja tijekom razdoblja mirovanja. Tijekom tih intervala napadači iskorištavaju uslugu pristupačnosti kako bi daljinski probudili uređaj, otključali ga i izvršili bankovnu prijevaru u stvarnom vremenu.

Ključne funkcije MMRata uključuju prikupljanje podataka o mreži, zaslonu i bateriji, eksfiltraciju korisničkih kontakata i popisa aplikacija, hvatanje korisničkih unosa putem keylogginga, preuzimanje sadržaja zaslona u stvarnom vremenu putem MediaProjection API-ja, snimanje i prijenos podataka kamere uživo, izbacivanje podataka zaslona u tekst obrasca na C2 poslužitelj i na kraju se deinstalira kako bi izbrisao tragove infekcije.

MMRat-ov učinkoviti prijenos podataka ključan je za njegovu sposobnost snimanja sadržaja zaslona u stvarnom vremenu i izdvajanja tekstualnih podataka iz 'stanja korisničkog terminala'. Kako bi omogućili učinkovitu bankovnu prijevaru, autori zlonamjernog softvera osmislili su prilagođeni Protobuf protokol za krađu podataka.

MMRat koristi neuobičajenu komunikacijsku tehniku kako bi došao do napadačevog poslužitelja

MMRat koristi poseban protokol poslužitelja za naredbe i kontrolu (C2) koji koristi ono što je poznato kao međuspremnici protokola (Protobuf) za olakšavanje pojednostavljenog prijenosa podataka—što je rijetkost u području Android trojanaca. Protobuf, tehnika serijalizacije podataka koju je razvio Google, funkcionira slično kao XML i JSON, ali se može pohvaliti manjim i bržim otiskom.

MMRat koristi različite portove i protokole za svoju interakciju s C2. Oni obuhvaćaju HTTP na portu 8080 za ekstrakciju podataka, RTSP i port 8554 za video streaming i personaliziranu implementaciju Protobufa na portu 8887 za naredbu i kontrolu.

Jedinstvenost C&C protokola leži u tome što je prilagođen za korištenje Nettyja, okvira mrežnih aplikacija, i prethodno spomenutog Protobufa. Ovo također uključuje dobro strukturirane poruke. Unutar C&C komunikacije, akter prijetnje usvaja sveobuhvatnu strukturu za utjelovljenje svih vrsta poruka i ključnu riječ "oneof" za označavanje različitih kategorija podataka.

Osim Protobufove učinkovitosti, korištenje prilagođenih protokola pojačava izbjegavanje mrežnih sigurnosnih alata koji obično identificiraju prepoznatljive obrasce već poznatih prijetnji. Zahvaljujući Protobufovoj svestranosti, kreatori MMRata imaju slobodu definirati svoje strukture poruka i regulirati metode prijenosa podataka. U međuvremenu, njegov sustavni dizajn jamči da se poslani podaci pridržavaju unaprijed definiranih dizajna, smanjujući vjerojatnost oštećenja nakon primitka.

Mobilna prijetnja MMRat prikazuje rastuću složenost Android bankovnih trojanaca, pri čemu kibernetički kriminalci vješto kombiniraju diskretne operacije s učinkovitim tehnikama dohvaćanja podataka.