MMRat मोबाइल मालवेयर

MMRat नामको एउटा उदीयमान एन्ड्रोइड बैंकिङ मालवेयरले प्रोटोबफ डाटा सिरियलाइजेसन भनेर चिनिने असामान्य सञ्चार प्रविधि प्रयोग गर्दछ। यो दृष्टिकोणले सम्झौता गरिएका यन्त्रहरूबाट जानकारी निकाल्नमा मालवेयरको दक्षता बढाउँछ।

जुन २०२३ मा साइबरसेक्युरिटी विशेषज्ञहरूद्वारा पत्ता लगाइएको, MMRat मुख्य रूपमा दक्षिणपूर्व एशियामा रहेका प्रयोगकर्ताहरूलाई लक्षित गर्नमा केन्द्रित छ। यद्यपि सम्भावित पीडितहरूलाई मालवेयरको प्रारम्भिक प्रसारको सटीक विधि अज्ञात छ, अनुसन्धानकर्ताहरूले पहिचान गरेका छन् कि MMRat वैध एप स्टोरहरूको रूपमा प्रस्तुत वेबसाइटहरू मार्फत फैलिएको छ।

MMRat मालवेयर बोक्ने जालसाजी अनुप्रयोगहरू डाउनलोड र अप्रत्याशित पीडितहरूद्वारा स्थापित हुन्छन्। अक्सर, यी अनुप्रयोगहरूले सरकारी अनुप्रयोगहरू वा डेटिङ प्लेटफर्महरू प्रतिरूपण गर्छन्। त्यसपछि, स्थापनाको क्रममा, अनुप्रयोगहरूले एन्ड्रोइडको पहुँच सेवामा पहुँच सहित आवश्यक अनुमतिहरू प्राप्त गर्न अनुरोध गर्दछ।

पहुँच सुविधाको फाइदा उठाएर, मालवेयरले स्वतः अतिरिक्त अनुमतिहरू सुरक्षित गर्दछ। यसले MMRat लाई सम्झौता गरिएको यन्त्रमा हानिकारक गतिविधिहरूको विस्तृत श्रृंखला कार्यान्वयन गर्न अनुमति दिन्छ।

MMRat ले साइबर अपराधीहरूलाई धेरै उपकरण प्रकार्यहरूमा नियन्त्रण लिन अनुमति दिन्छ

एक पटक MMRat ले एन्ड्रोइड उपकरणमा पहुँच प्राप्त गरेपछि, यसले C2 सर्भरसँग सञ्चार स्थापना गर्दछ र निष्क्रिय अवधिको लागि उपकरण गतिविधि निगरानी गर्दछ। यी अन्तरालहरूमा, आक्रमणकारीहरूले यन्त्रलाई टाढाबाट जगाउन, यसलाई अनलक गर्न र वास्तविक-समय बैंक ठगी गर्न पहुँच सेवाको दुरुपयोग गर्छन्।

MMRat को मुख्य कार्यहरूमा नेटवर्क, स्क्रिन, र ब्याट्री डेटा सङ्कलन, प्रयोगकर्ता सम्पर्कहरू र अनुप्रयोग सूचीहरू बाहिर निकाल्ने, किलगिङ मार्फत प्रयोगकर्ता इनपुटहरू क्याप्चर गर्ने, MediaProjection API मार्फत वास्तविक-समय स्क्रिन सामग्री कब्जा, रेकर्डिङ र लाइभ-स्ट्रिमिङ क्यामेरा डेटा, पाठमा स्क्रिन डाटा डम्पिङ समावेश छ। C2 सर्भरमा फारम, र अन्ततः संक्रमणका निशानहरू मेटाउन आफैलाई अनइन्स्टल गर्दै।

वास्तविक-समय स्क्रिन सामग्री क्याप्चर गर्न र 'प्रयोगकर्ता टर्मिनल अवस्था' बाट पाठ डेटा निकाल्ने क्षमताको लागि MMRat को कुशल डेटा प्रसारण महत्त्वपूर्ण छ। प्रभावकारी बैंक धोखाधडी सक्षम गर्न, मालवेयरका लेखकहरूले डाटा एक्सफिल्टेशनको लागि अनुकूलन प्रोटोबफ प्रोटोकल डिजाइन गरे।

MMRat ले आक्रमणकारीको सर्भरमा पुग्नको लागि असामान्य सञ्चार प्रविधिको प्रयोग गर्दछ

MMRat ले सुव्यवस्थित डेटा स्थानान्तरणको सुविधाको लागि प्रोटोकल बफरहरू (प्रोटोबफ) भनेर चिनिने कुराको प्रयोग गरी छुट्टै कमाण्ड एण्ड कन्ट्रोल (C2) सर्भर प्रोटोकल प्रयोग गर्दछ - एन्ड्रोइड ट्रोजनहरूको दायरा भित्रको दुर्लभता। प्रोटोबफ, Google द्वारा विकास गरिएको डेटा क्रमिकरण प्रविधि, XML र JSON जस्तै कार्य गर्दछ तर सानो र छिटो पदचिह्नको गर्व गर्दछ।

MMRat ले C2 सँगको अन्तरक्रियाको लागि मिश्रित पोर्ट र प्रोटोकलहरू प्रयोग गर्दछ। यसले डेटा एक्सफिल्टेसनको लागि पोर्ट 8080 मा HTTP, भिडियो स्ट्रिमिङको लागि RTSP र पोर्ट 8554, र आदेश र नियन्त्रणको लागि पोर्ट 8887 मा एक व्यक्तिगत प्रोटोबफ कार्यान्वयन समावेश गर्दछ।

C&C प्रोटोकलको विशिष्टता यसलाई Netty, नेटवर्क एप्लिकेसन ढाँचा, र पहिले उल्लेख गरिएको प्रोटोबफ प्रयोग गर्नको लागि तयार गरिएको हो। यसले राम्रोसँग संरचित सन्देशहरू पनि समावेश गर्दछ। C&C संचार भित्र, धम्की अभिनेताले सबै सन्देश प्रकारहरू र "एकको" कुञ्जी शव्दलाई छुट्टै डाटा कोटीहरूलाई संकेत गर्नको लागि एक व्यापक संरचना अपनाउछ।

प्रोटोबफको दक्षताभन्दा बाहिर, अनुकूलन प्रोटोकलहरूको उपयोगले नेटवर्क सुरक्षा उपकरणहरू विरुद्ध चोरीलाई बलियो बनाउँछ जसले सामान्यतया पहिले नै ज्ञात खतराहरूको पहिचान गर्न सकिने ढाँचाहरू पहिचान गर्दछ। प्रोटोबफको बहुमुखी प्रतिभाको लागि धन्यवाद MMRat का सिर्जनाकर्ताहरूसँग उनीहरूको सन्देश संरचनाहरू परिभाषित गर्ने र डाटा प्रसारण विधिहरू विनियमित गर्ने स्वतन्त्रता छ। यस बीचमा, यसको व्यवस्थित डिजाइनले ग्यारेन्टी दिन्छ कि पठाइएको डाटा पूर्वनिर्धारित डिजाइनहरूको पालना गर्दछ, प्राप्त भएपछि भ्रष्टाचारको सम्भावना कम गर्दछ।

MMRat मोबाइल खतराले एन्ड्रोइड बैंकिङ ट्रोजनहरूको विकसित जटिलतालाई प्रदर्शन गर्दछ, साइबर अपराधीहरूले प्रभावकारी डेटा पुन: प्राप्ति प्रविधिहरूसँग विवेकी अपरेशनहरूलाई कुशलताका साथ संयोजन गर्दछ।