MMRat mobiele malware

Een opkomende malware voor Android-bankieren genaamd MMRat maakt gebruik van een ongebruikelijke communicatietechniek die bekend staat als protobuf-gegevensserialisatie. Deze aanpak verbetert de efficiëntie van de malware bij het extraheren van informatie van aangetaste apparaten.

MMRat werd in juni 2023 opgegraven door cyberbeveiligingsexperts en richt zich voornamelijk op gebruikers in Zuidoost-Azië. Hoewel de precieze methode voor de initiële verspreiding van de malware onder potentiële slachtoffers onbekend blijft, hebben onderzoekers vastgesteld dat MMRat zich verspreidt via websites die zich voordoen als legitieme app-winkels.

De frauduleuze applicaties met de MMRat-malware worden gedownload en geïnstalleerd door nietsvermoedende slachtoffers. Vaak imiteren deze applicaties overheidsapplicaties of datingplatforms. Vervolgens vragen de applicaties tijdens de installatie om essentiële machtigingen, waaronder toegang tot de Android Accessibility-service.

Door gebruik te maken van de toegankelijkheidsfunctie, verzekert de malware automatisch extra machtigingen voor zichzelf. Hierdoor kan MMRat een breed scala aan schadelijke activiteiten uitvoeren op het aangetaste apparaat.

Met MMRat kunnen cybercriminelen de controle over talloze apparaatfuncties overnemen

Zodra MMRat toegang krijgt tot een Android-apparaat, brengt het communicatie tot stand met een C2-server en bewaakt het de apparaatactiviteit tijdens inactieve perioden. Tijdens deze intervallen misbruiken aanvallers de Accessibility Service om het apparaat op afstand te wekken, te ontgrendelen en in realtime bankfraude uit te voeren.

De belangrijkste functies van MMRat omvatten het verzamelen van netwerk-, scherm- en batterijgegevens, het exfiltreren van gebruikerscontacten en applicatielijsten, het vastleggen van gebruikersinvoer via keylogging, het vastleggen van realtime scherminhoud via de MediaProjection API, het opnemen en live streamen van cameragegevens, het dumpen van schermgegevens in tekst formulier naar de C2-server en uiteindelijk zichzelf verwijderen om sporen van infectie te wissen.

De efficiënte gegevensoverdracht van MMRat is van cruciaal belang voor het vermogen om real-time scherminhoud vast te leggen en tekstgegevens uit de 'user terminal state' te extraheren. Om effectieve bankfraude mogelijk te maken, hebben de auteurs van de malware een aangepast Protobuf-protocol voor gegevensexfiltratie ontworpen.

MMRat maakt gebruik van een ongebruikelijke communicatietechniek om de server van de aanvaller te bereiken

MMRat maakt gebruik van een apart Command and Control (C2) serverprotocol dat gebruik maakt van zogenaamde protocolbuffers (Protobuf) om gestroomlijnde gegevensoverdracht mogelijk te maken - een zeldzaamheid binnen het domein van Android-trojans. Protobuf, een dataserialisatietechniek ontwikkeld door Google, functioneert op dezelfde manier als XML en JSON, maar heeft een kleinere en snellere footprint.

MMRat maakt gebruik van diverse poorten en protocollen voor zijn interacties met de C2. Deze omvatten HTTP op poort 8080 voor data-exfiltratie, RTSP en poort 8554 voor videostreaming, en een gepersonaliseerde Protobuf-implementatie op poort 8887 voor commando en controle.

Het unieke van het C&C-protocol ligt in het feit dat het is afgestemd op het gebruik van Netty, een netwerkapplicatieframework, en het eerder genoemde Protobuf. Hierbij horen ook goed gestructureerde berichten. Binnen C&C-communicatie hanteert de dreigingsactor een alomvattende structuur om alle berichttypen te belichamen, en het trefwoord 'oneof' om verschillende gegevenscategorieën aan te duiden.

Naast de efficiëntie van Protobuf versterkt het gebruik van aangepaste protocollen de ontwijking van netwerkbeveiligingstools die doorgaans herkenbare patronen van reeds bekende bedreigingen identificeren. Dankzij de veelzijdigheid van Protobuf hebben de makers van MMRat de vrijheid om hun berichtstructuren te definiëren en de methoden voor gegevensoverdracht te reguleren. Ondertussen garandeert het systematische ontwerp dat verzonden gegevens voldoen aan vooraf gedefinieerde ontwerpen, waardoor de kans op corruptie bij ontvangst wordt verkleind.

De mobiele dreiging van MMRat laat de evoluerende complexiteit van Android banking-trojans zien, waarbij de cybercriminelen discrete operaties vakkundig combineren met effectieve technieken voor het ophalen van gegevens.