MMRat Mobile ļaunprātīga programmatūra

Jaunā Android banku ļaunprogrammatūra ar nosaukumu MMRat izmanto neparastu saziņas paņēmienu, kas pazīstams kā protobuf datu serializācija. Šī pieeja uzlabo ļaunprātīgas programmatūras efektivitāti, iegūstot informāciju no apdraudētām ierīcēm.

MMRat, ko kiberdrošības eksperti atklāja 2023. gada jūnijā, galvenokārt koncentrējas uz lietotājiem, kuri atrodas Dienvidaustrumāzijā. Lai gan precīza ļaunprātīgas programmatūras sākotnējās izplatīšanas metode potenciālajiem upuriem joprojām nav zināma, pētnieki ir noskaidrojuši, ka MMRat izplatās caur vietnēm, kas tiek uzskatītas par likumīgiem lietotņu veikaliem.

Krāpnieciskās lietojumprogrammas, kurās ir ļaunprogrammatūra MMRat, lejupielādē un instalē nenojauši upuri. Bieži vien šīs lietojumprogrammas uzdodas par valdības lietojumprogrammām vai iepazīšanās platformām. Pēc tam instalēšanas laikā lietojumprogrammas pieprasa saņemt būtiskas atļaujas, tostarp piekļuvi Android pieejamības pakalpojumam.

Izmantojot pieejamības funkcijas priekšrocības, ļaunprogrammatūra automātiski nodrošina sev papildu atļaujas. Tas ļauj MMRat veikt plašu kaitīgu darbību klāstu apdraudētajā ierīcē.

MMRat ļauj kibernoziedzniekiem pārņemt kontroli pār daudzām ierīces funkcijām

Kad MMRat iegūst piekļuvi Android ierīcei, tas izveido saziņu ar C2 serveri un uzrauga ierīces darbību dīkstāves periodos. Šajos intervālos uzbrucēji izmanto pieejamības pakalpojumu, lai attālināti pamodinātu ierīci, atbloķētu to un veiktu reāllaika krāpšanu bankās.

MMRat galvenās funkcijas ietver tīkla, ekrāna un akumulatora datu vākšanu, lietotāju kontaktpersonu un lietojumprogrammu sarakstu izfiltrēšanu, lietotāja ievades tveršanu, izmantojot taustiņu reģistrēšanu, reāllaika ekrāna satura uztveršanu, izmantojot MediaProjection API, kameras datu ierakstīšanu un tiešraides straumēšanu, ekrāna datu izvadīšanu tekstā. veidlapu uz C2 serveri un galu galā atinstalējot sevi, lai izdzēstu infekcijas pēdas.

MMRat efektīva datu pārraide ir ļoti svarīga, lai tā varētu uztvert reāllaika ekrāna saturu un iegūt teksta datus no “lietotāja termināļa stāvokļa”. Lai nodrošinātu efektīvu banku krāpšanu, ļaunprogrammatūras autori izstrādāja pielāgotu Protobuf protokolu datu izfiltrēšanai.

MMRat izmanto neparastu saziņas paņēmienu, lai sasniegtu uzbrucēja serveri

MMRat izmanto atšķirīgu komandu un vadības (C2) servera protokolu, izmantojot tā sauktos protokolu buferus (Protobuf), lai atvieglotu racionalizētu datu pārsūtīšanu — Android Trojas zirgu pasaulē tas ir retums. Protobuf, Google izstrādātā datu serializācijas tehnika, darbojas līdzīgi kā XML un JSON, taču tai ir mazāks un ātrāks nospiedums.

MMRat mijiedarbībai ar C2 izmanto dažādus portus un protokolus. Tie ietver HTTP portā 8080 datu eksfiltrācijai, RTSP un portu 8554 video straumēšanai un personalizētu Protobuf ieviešanu portā 8887 komandēšanai un kontrolei.

C&C protokola unikalitāte slēpjas tajā, ka tas ir pielāgots, lai izmantotu tīkla lietojumprogrammu sistēmu Netty un iepriekš minēto Protobuf. Tas ietver arī labi strukturētus ziņojumus. C&C komunikācijā draudu dalībnieks izmanto visaptverošu struktūru, lai ietvertu visus ziņojumu veidus, un atslēgvārdu "viens no", lai apzīmētu atsevišķas datu kategorijas.

Papildus Protobuf efektivitātei pielāgoto protokolu izmantošana veicina izvairīšanos no tīkla drošības rīkiem, kas parasti identificē jau zināmu draudu atpazīstamus modeļus. Pateicoties Protobuf daudzpusībai, MMRat radītāji var brīvi definēt savu ziņojumu struktūras un regulēt datu pārraides metodes. Tikmēr tā sistemātiskais dizains garantē, ka nosūtītie dati atbilst iepriekš noteiktiem dizainiem, samazinot korupcijas iespējamību, kad tie tiek saņemti.

MMRat mobilais drauds demonstrē Android banku Trojas zirgu sarežģītības attīstību, kibernoziedzniekiem gudri apvienojot diskrētas darbības ar efektīvām datu izguves metodēm.