MMRat mobil skadelig programvare

En voksende Android-bankprogramvare kalt MMRat bruker en uvanlig kommunikasjonsteknikk kjent som protobuf-dataserialisering. Denne tilnærmingen forbedrer skadelig programvares effektivitet når det gjelder å trekke ut informasjon fra kompromitterte enheter.

MMRat ble avdekket av cybersikkerhetseksperter i juni 2023, og er først og fremst konsentrert om å målrette mot brukere i Sørøst-Asia. Selv om den nøyaktige metoden for den første spredningen av skadelig programvare til potensielle ofre forblir ukjent, har forskere identifisert at MMRat sprer seg gjennom nettsteder som utgir seg for å være legitime appbutikker.

Uredelige applikasjoner som bærer MMRat malware lastes ned og installeres av intetanende ofre. Disse applikasjonene utgir seg ofte for å være offentlige applikasjoner eller datingplattformer. Deretter, under installasjonen, ber applikasjonene om å få viktige tillatelser, inkludert tilgang til Androids tilgjengelighetstjeneste.

Ved å dra nytte av tilgjengelighetsfunksjonen, sikrer skadevaren automatisk ytterligere tillatelser for seg selv. Dette gjør at MMRat kan utføre en lang rekke skadelige aktiviteter på den kompromitterte enheten.

MMRat lar nettkriminelle ta kontroll over en rekke enhetsfunksjoner

Når MMRat får tilgang til en Android-enhet, etablerer den kommunikasjon med en C2-server og overvåker enhetsaktivitet i perioder med inaktivitet. I løpet av disse intervallene utnytter angripere tilgjengelighetstjenesten til å vekke enheten eksternt, låse den opp og utføre banksvindel i sanntid.

MMRats nøkkelfunksjoner inkluderer innsamling av nettverks-, skjerm- og batteridata, eksfiltrering av brukerkontakter og applikasjonslister, fange brukerinndata via tastelogging, gripe skjerminnhold i sanntid gjennom MediaProjection API, opptak og live-streaming av kameradata, dumping av skjermdata i tekst skjemaet til C2-serveren, og til slutt avinstallerer seg selv for å slette spor etter infeksjon.

MMRats effektive dataoverføring er avgjørende for dens evne til å fange opp skjerminnhold i sanntid og trekke ut tekstdata fra "brukerterminaltilstanden." For å muliggjøre effektiv banksvindel, utviklet skadevareforfatterne en tilpasset Protobuf-protokoll for dataeksfiltrering.

MMRat bruker en uvanlig kommunikasjonsteknikk for å nå angriperens server

MMRat bruker en distinkt Command and Control (C2) serverprotokoll som bruker det som er kjent som protokollbuffere (Protobuf) for å lette strømlinjeformet dataoverføring – en sjeldenhet innenfor Android-trojanernes rike. Protobuf, en dataserialiseringsteknikk utviklet av Google, fungerer på samme måte som XML og JSON, men har et mindre og raskere fotavtrykk.

MMRat bruker assorterte porter og protokoller for sin interaksjon med C2. Disse omfatter HTTP på port 8080 for dataeksfiltrering, RTSP og port 8554 for videostreaming, og en personlig Protobuf-implementering på port 8887 for kommando og kontroll.

Det unike med C&C-protokollen ligger i at den er skreddersydd for å bruke Netty, et nettverksapplikasjonsrammeverk, og den tidligere nevnte Protobuf. Dette inkluderer også godt strukturerte meldinger. Innen C&C-kommunikasjon vedtar trusselaktøren en omfattende struktur for å legemliggjøre alle meldingstyper og "oneof"-nøkkelordet for å angi distinkte datakategorier.

Utover Protobufs effektivitet, styrker bruken av tilpassede protokoller unndragelse mot nettverkssikkerhetsverktøy som vanligvis identifiserer gjenkjennelige mønstre av allerede kjente trusler. Takket være Protobufs allsidighet har MMRats skapere frihet til å definere meldingsstrukturer og regulere dataoverføringsmetodene. I mellomtiden garanterer dens systematiske design at utsendte data overholder forhåndsdefinerte design, noe som reduserer sannsynligheten for korrupsjon ved mottak.

Mobiltrusselen MMRat viser den utviklende kompleksiteten til Android-banktrojanere, med nettkriminelle som på en dyktig måte kombinerer diskrete operasjoner med effektive datainnhentingsteknikker.