Malware mobile MMRat

Un malware bancario Android emergente denominato MMRat utilizza una tecnica di comunicazione insolita nota come serializzazione dei dati protobuf. Questo approccio migliora l'efficienza del malware nell'estrazione di informazioni dai dispositivi compromessi.

Scoperto dagli esperti di sicurezza informatica nel giugno 2023, MMRat si concentra principalmente sul prendere di mira gli utenti situati nel sud-est asiatico. Anche se il metodo preciso con cui il malware si è diffuso inizialmente alle potenziali vittime rimane sconosciuto, i ricercatori hanno scoperto che MMRat si diffonde attraverso siti web che si spacciano per app store legittimi.

Le applicazioni fraudolente che trasportano il malware MMRat vengono scaricate e installate da vittime ignare. Spesso queste applicazioni si spacciano per applicazioni governative o piattaforme di incontri. Successivamente, durante l'installazione, le applicazioni richiedono di ricevere i permessi essenziali, compreso l'accesso al servizio Accessibilità di Android.

Sfruttando la funzionalità di accessibilità, il malware si assicura automaticamente autorizzazioni aggiuntive. Ciò consente a MMRat di eseguire un'ampia gamma di attività dannose sul dispositivo compromesso.

MMRat consente ai criminali informatici di assumere il controllo di numerose funzioni del dispositivo

Una volta che MMRat ottiene l'accesso a un dispositivo Android, stabilisce la comunicazione con un server C2 e monitora l'attività del dispositivo per i periodi di inattività. Durante questi intervalli, gli aggressori sfruttano il servizio di accessibilità per attivare da remoto il dispositivo, sbloccarlo e commettere frodi bancarie in tempo reale.

Le funzioni chiave di MMRat includono la raccolta di dati di rete, schermo e batteria, l'estrazione di contatti utente ed elenchi di applicazioni, l'acquisizione di input dell'utente tramite keylogging, il sequestro di contenuti dello schermo in tempo reale tramite l'API MediaProjection, la registrazione e lo streaming live dei dati della fotocamera, il dump dei dati dello schermo in testo form al server C2 e infine disinstallandosi per cancellare tracce di infezione.

L'efficiente trasmissione dei dati di MMRat è vitale per la sua capacità di catturare il contenuto dello schermo in tempo reale ed estrarre dati di testo dallo "stato del terminale dell'utente". Per consentire frodi bancarie efficaci, gli autori del malware hanno progettato un protocollo Protobuf personalizzato per l'esfiltrazione dei dati.

MMRat utilizza una tecnica di comunicazione insolita per raggiungere il server dell'aggressore

MMRat utilizza un protocollo server di comando e controllo (C2) distinto che utilizza i cosiddetti buffer di protocollo (Protobuf) per facilitare il trasferimento semplificato dei dati, una rarità nel regno dei trojan Android. Protobuf, una tecnica di serializzazione dei dati sviluppata da Google, funziona in modo simile a XML e JSON ma vanta un ingombro più ridotto e più veloce.

MMRat utilizza porte e protocolli assortiti per le sue interazioni con C2. Questi comprendono HTTP sulla porta 8080 per l'esfiltrazione dei dati, RTSP e porta 8554 per lo streaming video e un'implementazione Protobuf personalizzata sulla porta 8887 per comando e controllo.

L'unicità del protocollo C&C risiede nel fatto che è stato adattato per utilizzare Netty, un framework applicativo di rete, e il già citato Protobuf. Ciò incorpora anche messaggi ben strutturati. All'interno della comunicazione C&C, l'autore della minaccia adotta una struttura completa per incorporare tutti i tipi di messaggi e la parola chiave "oneof" per indicare categorie di dati distinte.

Oltre all'efficienza di Protobuf, l'utilizzo di protocolli personalizzati rafforza l'evasione contro gli strumenti di sicurezza della rete che in genere identificano modelli riconoscibili di minacce già note. Grazie alla versatilità di Protobuf i creatori di MMRat hanno la libertà di definire le strutture dei propri messaggi e regolare le modalità di trasmissione dei dati. Nel frattempo, la sua progettazione sistematica garantisce che i dati inviati aderiscano a progetti predefiniti, riducendo la probabilità di corruzione al momento della ricezione.

La minaccia mobile MMRat mostra la complessità in evoluzione dei trojan bancari Android, con i criminali informatici che combinano abilmente operazioni discrete con tecniche efficaci di recupero dei dati.