MMRat 모바일 악성코드

MMRat이라는 새로운 Android 뱅킹 악성코드는 protobuf 데이터 직렬화라는 흔하지 않은 통신 기술을 사용합니다. 이 접근 방식은 손상된 장치에서 정보를 추출하는 맬웨어의 효율성을 향상시킵니다.

2023년 6월 사이버 보안 전문가가 발굴한 MMRat은 주로 동남아시아에 위치한 사용자를 표적으로 삼는 데 집중되어 있습니다. 잠재적인 피해자에게 악성 코드가 처음 유포되는 정확한 방법은 아직 알려지지 않았지만 연구원들은 MMRat이 합법적인 앱 스토어로 위장한 웹사이트를 통해 확산된다는 사실을 확인했습니다.

MMRat 악성 코드를 포함하는 사기성 애플리케이션은 의심하지 않는 피해자에 의해 다운로드되어 설치됩니다. 이러한 애플리케이션은 정부 애플리케이션이나 데이트 플랫폼을 가장하는 경우가 많습니다. 이후 설치 중에 애플리케이션은 Android 접근성 서비스에 대한 액세스를 포함하여 필수 권한을 요청합니다.

접근성 기능을 활용하여 악성코드는 자동으로 추가 권한을 확보합니다. 이를 통해 MMRat은 손상된 장치에서 광범위한 유해 활동을 실행할 수 있습니다.

MMRat을 통해 사이버 범죄자가 다양한 장치 기능을 제어할 수 있습니다.

MMRat이 Android 기기에 액세스하면 C2 서버와의 통신을 설정하고 유휴 기간 동안 기기 활동을 모니터링합니다. 이 간격 동안 공격자는 접근성 서비스를 이용하여 원격으로 장치를 깨우고 잠금을 해제하며 실시간 은행 사기를 수행합니다.

MMRat의 주요 기능에는 네트워크, 화면 및 배터리 데이터 수집, 사용자 연락처 및 애플리케이션 목록 추출, 키로깅을 통한 사용자 입력 캡처, MediaProjection API를 통한 실시간 화면 콘텐츠 캡처, 카메라 데이터 녹화 및 라이브 스트리밍, 화면 데이터를 텍스트로 덤프하는 기능이 포함됩니다. C2 서버에 형성되고 궁극적으로 자체 제거되어 감염 흔적이 지워집니다.

MMRat의 효율적인 데이터 전송은 실시간 화면 콘텐츠를 캡처하고 '사용자 단말기 상태'에서 텍스트 데이터를 추출하는 능력에 필수적입니다. 효과적인 은행 사기를 가능하게 하기 위해 악성코드 작성자는 데이터 유출을 위한 맞춤형 Protobuf 프로토콜을 설계했습니다.

MMRat는 비정상적인 통신 기술을 활용하여 공격자의 서버에 도달합니다.

MMRat은 프로토콜 버퍼(Protobuf)라고 알려진 것을 활용하는 고유한 명령 및 제어(C2) 서버 프로토콜을 사용하여 Android 트로이 목마 영역에서는 드물게 효율적인 데이터 전송을 촉진합니다. Google이 개발한 데이터 직렬화 기술인 Protobuf는 XML 및 JSON과 유사하게 작동하지만 더 작고 빠른 공간을 자랑합니다.

MMRat은 C2와의 상호 작용을 위해 다양한 포트와 프로토콜을 사용합니다. 여기에는 데이터 유출을 위한 포트 8080의 HTTP, 비디오 스트리밍을 위한 RTSP 및 포트 8554, 명령 및 제어를 위한 포트 8887의 개인화된 Protobuf 구현이 포함됩니다.

C&C 프로토콜의 독창성은 네트워크 애플리케이션 프레임워크인 Netty와 앞서 언급한 Protobuf를 사용하도록 맞춤화되었다는 점입니다. 여기에는 잘 구성된 메시지도 포함됩니다. C&C 통신 내에서 위협 행위자는 모든 메시지 유형을 구현하는 포괄적인 구조와 고유한 데이터 범주를 나타내는 "oneof" 키워드를 채택합니다.

Protobuf의 효율성 외에도 사용자 지정 프로토콜을 활용하면 일반적으로 이미 알려진 위협의 인식 가능한 패턴을 식별하는 네트워크 보안 도구에 대한 회피가 강화됩니다. Protobuf의 다용성 덕분에 MMRat의 제작자는 메시지 구조를 자유롭게 정의하고 데이터 전송 방법을 규제할 수 있습니다. 한편, 체계적인 설계는 발송된 데이터가 사전 정의된 설계를 준수하도록 보장하여 수신 시 손상 가능성을 줄입니다.

MMRat 모바일 위협은 안드로이드 뱅킹 트로이 목마의 진화하는 복잡성을 보여줍니다. 사이버 범죄자들은 신중한 작업과 효과적인 데이터 검색 기술을 능숙하게 결합합니다.