Perisian Hasad Mudah Alih MMRat
Perisian hasad perbankan Android yang baru muncul bernama MMRat menggunakan teknik komunikasi luar biasa yang dikenali sebagai pensirilan data protobuf. Pendekatan ini meningkatkan kecekapan perisian hasad dalam mengekstrak maklumat daripada peranti yang terjejas.
Ditemui oleh pakar keselamatan siber pada Jun 2023, MMRat tertumpu terutamanya pada penyasaran pengguna yang terletak di Asia Tenggara. Walaupun kaedah tepat penyebaran awal perisian hasad kepada bakal mangsa masih tidak diketahui, penyelidik telah mengenal pasti bahawa MMRat merebak melalui tapak web yang menyamar sebagai kedai aplikasi yang sah.
Aplikasi penipuan yang membawa perisian hasad MMRat dimuat turun dan dipasang oleh mangsa yang tidak mengesyaki. Selalunya, aplikasi ini menyamar sebagai aplikasi kerajaan atau platform temu janji. Selepas itu, semasa pemasangan, aplikasi meminta untuk menerima kebenaran penting, termasuk akses kepada perkhidmatan Kebolehcapaian Android.
Dengan memanfaatkan ciri Kebolehcapaian, perisian hasad secara automatik menjamin kebenaran tambahan untuk dirinya sendiri. Ini membolehkan MMRat melaksanakan pelbagai aktiviti berbahaya pada peranti yang terjejas.
MMRat Membenarkan Penjenayah Siber Mengambil Kawalan Ke Atas Pelbagai Fungsi Peranti
Sebaik sahaja MMRat mendapat akses kepada peranti Android, ia mewujudkan komunikasi dengan pelayan C2 dan memantau aktiviti peranti untuk tempoh terbiar. Semasa selang waktu ini, penyerang mengeksploitasi Perkhidmatan Kebolehcapaian untuk membangunkan peranti dari jauh, membuka kuncinya dan melakukan penipuan bank masa nyata.
Fungsi utama MMRat termasuk mengumpul data rangkaian, skrin dan bateri, mengekstrak kenalan pengguna dan senarai aplikasi, menangkap input pengguna melalui pengelogan kekunci, merampas kandungan skrin masa nyata melalui API MediaProjection, merakam dan menstrim data kamera secara langsung, membuang data skrin dalam teks borang ke pelayan C2, dan akhirnya menyahpasang dirinya sendiri untuk memadam kesan jangkitan.
Penghantaran data MMRat yang cekap adalah penting untuk keupayaannya menangkap kandungan skrin masa nyata dan mengekstrak data teks daripada 'keadaan terminal pengguna.' Untuk membolehkan penipuan bank yang berkesan, pengarang perisian hasad mereka bentuk protokol Protobuf tersuai untuk penyingkiran data.
MMRat Menggunakan Teknik Komunikasi Luar Biasa untuk Mencapai Pelayan Penyerang
MMRat menggunakan protokol pelayan Perintah dan Kawalan (C2) yang berbeza menggunakan apa yang dikenali sebagai penimbal protokol (Protobuf) untuk memudahkan pemindahan data diperkemas—jarang berlaku dalam alam trojan Android. Protobuf, teknik siri data yang dibangunkan oleh Google, berfungsi sama seperti XML dan JSON tetapi mempunyai jejak yang lebih kecil dan lebih pantas.
MMRat menggunakan pelbagai port dan protokol untuk interaksinya dengan C2. Ini merangkumi HTTP pada port 8080 untuk exfiltration data, RTSP dan port 8554 untuk penstriman video, dan pelaksanaan Protobuf yang diperibadikan pada port 8887 untuk arahan dan kawalan.
Keunikan protokol C&C terletak pada ia disesuaikan untuk menggunakan Netty, rangka kerja aplikasi rangkaian, dan Protobuf yang disebutkan sebelum ini. Ini juga menggabungkan mesej yang tersusun dengan baik. Dalam komunikasi C&C, pelaku ancaman menggunakan struktur komprehensif untuk merangkumi semua jenis mesej dan kata kunci "salah satu" untuk menandakan kategori data yang berbeza.
Di luar kecekapan Protobuf, penggunaan protokol tersuai meningkatkan pengelakan terhadap alatan keselamatan rangkaian yang lazimnya mengenal pasti corak yang boleh dikenali bagi ancaman yang telah diketahui. Terima kasih kepada kepelbagaian Protobuf, pencipta MMRat mempunyai kebebasan untuk menentukan struktur mesej mereka dan mengawal kaedah penghantaran data. Sementara itu, reka bentuk sistematiknya menjamin bahawa data yang dihantar mematuhi reka bentuk yang telah ditetapkan, mengurangkan kemungkinan rasuah apabila diterima.
Ancaman mudah alih MMRat mempamerkan kerumitan Trojan perbankan Android yang berkembang, dengan penjenayah siber menggabungkan operasi bijaksana dengan teknik pengambilan data yang berkesan.
