MMRat Mobile Malware

Az Android banki rosszindulatú programja, az MMRat, egy nem mindennapi kommunikációs technikát alkalmaz, amelyet protobuf adatsorosításként ismernek. Ez a megközelítés növeli a rosszindulatú szoftverek hatékonyságát az információk kinyerésében a feltört eszközökről.

A kiberbiztonsági szakértők által 2023 júniusában feltárt MMRat elsősorban a délkelet-ázsiai felhasználók megcélzására koncentrál. Bár a rosszindulatú program potenciális áldozatokhoz való kezdeti terjesztésének pontos módja továbbra sem ismert, a kutatók megállapították, hogy az MMRat legális alkalmazásboltoknak tűnő webhelyeken keresztül terjed.

Az MMRat kártevőt hordozó csaló alkalmazásokat gyanútlan áldozatok töltik le és telepítik. Ezek az alkalmazások gyakran kormányzati alkalmazásokat vagy társkereső platformokat adnak ki. Ezt követően a telepítés során az alkalmazások alapvető engedélyeket kérnek, beleértve az Android Kisegítő lehetőségek szolgáltatásához való hozzáférést.

A kisegítő lehetőségeket kihasználva a kártevő automatikusan további engedélyeket szerez magának. Ez lehetővé teszi az MMRat számára, hogy káros tevékenységek széles skáláját hajtsa végre a feltört eszközön.

Az MMRat lehetővé teszi a kiberbűnözők számára, hogy átvegyék az irányítást számos eszközfunkció felett

Amint az MMRat hozzáfér egy Android-eszközhöz, kommunikációt létesít egy C2-szerverrel, és figyeli az eszköz tevékenységét a tétlenségi időszakokra. Ezen időszakok alatt a támadók az akadálymentesítési szolgáltatást kihasználva távolról felébresztik az eszközt, feloldják a zárolást, és valós idejű banki csalásokat hajtanak végre.

Az MMRat fő funkciói közé tartozik a hálózati, képernyő- és akkumulátoradatok gyűjtése, a felhasználói névjegyek és alkalmazáslisták kiszűrése, a felhasználói bevitelek rögzítése billentyűnaplózáson keresztül, a valós idejű képernyőtartalom lefoglalása a MediaProjection API-n keresztül, a kameraadatok rögzítése és élő közvetítése, valamint a képernyőadatok szöveges kiírása. űrlapot a C2 kiszolgálóra, és végül eltávolítja magát a fertőzés nyomainak törléséhez.

Az MMRat hatékony adatátvitele létfontosságú ahhoz, hogy valós idejű képernyőtartalmat tudjon rögzíteni és szöveges adatokat kinyerni a „felhasználói terminál állapotából”. A hatékony banki csalás érdekében a kártevő szerzői egyedi Protobuf protokollt készítettek az adatok kiszűrésére.

Az MMRat szokatlan kommunikációs technikát használ a támadó szerverének eléréséhez

Az MMRat különálló Command and Control (C2) szerverprotokollt alkalmaz, amely úgynevezett protokollpuffereket (Protobuf) használ az egyszerűsített adatátvitel elősegítésére – ez ritkaság az Android trójaiak birodalmában. A Protobuf, a Google által kifejlesztett adatsorosítási technika az XML-hez és a JSON-hoz hasonlóan működik, de kisebb és gyorsabb lábnyommal büszkélkedhet.

Az MMRat válogatott portokat és protokollokat használ a C2-vel való interakciójához. Ezek magukban foglalják a HTTP-t a 8080-as porton az adatok kiszűréséhez, az RTSP-t és a 8554-es portot a videó streaminghez, valamint a személyre szabott Protobuf-megvalósítást a 8887-es porton a vezérléshez.

A C&C protokoll egyedisége abban rejlik, hogy a Netty, egy hálózati alkalmazási keretrendszer és a korábban említett Protobuf használatára szabott. Ez jól strukturált üzeneteket is tartalmaz. A C&C kommunikáción belül a fenyegetettség szereplője átfogó struktúrát alkalmaz az összes üzenettípus megtestesítésére, az „egyik” kulcsszó pedig külön adatkategóriákat jelöl.

A Protobuf hatékonyságán túl az egyéni protokollok alkalmazása elősegíti a hálózati biztonsági eszközök kikerülését, amelyek jellemzően a már ismert fenyegetések felismerhető mintáit azonosítják. A Protobuf sokoldalúságának köszönhetően az MMRat készítői szabadon határozhatják meg üzenetstruktúráikat és szabályozhatják az adatátviteli módokat. Eközben szisztematikus kialakítása garantálja, hogy a kiküldött adatok megfelelnek az előre meghatározott terveknek, csökkentve a beérkezéskor bekövetkező sérülés valószínűségét.

Az MMRat mobilfenyegetés bemutatja az Android banki trójaiak fejlődő összetettségét, ahol a kiberbűnözők ügyesen kombinálják a diszkrét műveleteket a hatékony adat-visszakeresési technikákkal.